動的(コネクタなし)タイプのフェデレーションのセットアップでは、サードパーティの ID プロバイダを動的なユーザーおよびグループのプロビジョニング向けに構成する必要があります。
次のリストでは、フェデレーションのセットアップ ワークフローの手順の概要を示します。企業ドメインをフェデレーションする各手順のシナリオ例については、手順のリンクをクリックしてください。
- 手順 1:ドメインの確認
-
この手順では、フェデレーションするドメインの所有権を確認します。検証プロセスでは、ドメインの DNS TXT レコードを追加します。開始する前に、企業ドメインの DNS レコードが変更可能なことを確認してください。
この手順で追加したドメインが、企業の従業員が VMware Cloud services にアクセスする際に使用するトップ レベル パブリック ドメインになります。これらのドメインは内部 Active Directory ドメインではありません。
注: 検証は自動実行されません。TXT レコードを送信して変更が有効になるまでに、最大で 72 時間かかる場合があります。 - 手順 2:ID プロバイダの構成(SAML ベース)
-
この手順では、ID プロバイダを構成します。エンタープライズのフェデレーションを有効にするには、SAML 2.0 ベースのサードパーティ ID プロバイダを使用します。セルフサービス フェデレーションのセットアップ プロセスでは、Okta、PingIdentity、Microsoft Active Directory Federation Services、OneLogin、および Azure Active Directory の SAML ベースの IdP の構成サポートについてガイドします。
エンタープライズ フェデレーション用のサードパーティ IdP を構成するには、ID プロバイダ コンソールと IdP のメタデータ URL にアクセスできる必要があります。注意: フェデレーションのセットアップを完了した後に、この手順で構成した ID プロバイダを変更することはできません。後で ID プロバイダを変更する必要がある場合は、サポート チケットを発行します。 - 手順 3:セットアップの完了
-
フェデレーションのセットアップの最後の手順では、次のアクションを実行する必要があります。
- エンタープライズのユーザーが、企業の IdP を使用して VMware Cloud services にログインできることを検証します。
- 手順 1 で指定したドメインのエンタープライズ ユーザーに、企業の認証情報を使用して VMware Cloud services にログインする必要があることを通知します。
- 変更を確認して、エンタープライズのフェデレーションを有効にします。
フェデレーションのセットアップが完了すると、セルフサービス ワークフローを変更できなくなります。エンタープライズ管理者は、[エンタープライズ フェデレーション] ダッシュボードで初期セットアップを変更できます。
重要: エンタープライズ フェデレーションを有効にした後に、フェデレーション ドメインを使用するユーザーが VMware Cloud services にアクセスするには、企業アカウントを使用する必要があります。 VMware Cloud services にログインする際に、My VMware アカウントを使用することはできなくなります。 - 手順 4:VMware アカウントのリンク
-
ワークフローの最後の手順では、フェデレーション アカウントを VMware ID アカウントにリンクします。この手順は、次のロールに対して実行する必要があります。
- エンタープライズ管理者、セルフサービス フェデレーションのセットアップに参加した組織の所有者ユーザー。
- 請求情報にアクセスする必要がある組織の所有者および組織のメンバー ユーザー。
- サポート リクエストの発行機能が必要になる組織の所有者および組織のメンバー ユーザー。