VMware Identity Manager は複数の認証方法をサポートします。単一の認証方法を構成し、二要素のチェーン認証を設定することができます。また、RADIUS および SAML プロトコルには外部の認証方法を使用することができます。
VMware Identity Manager サービスで使用する ID プロバイダ インスタンスは、SAML 2.0 アサーションを使用してサービスと通信するネットワーク内のフェデレーション機関を作成します。
VMware Identity Manager サービスを初めて展開する場合、コネクタはサービスの最初の ID プロバイダです。ユーザー認証と管理には既存の Active Directory インフラストラクチャが使用されます。
次の認証方法がサポートされます。これらの認証方法は、管理コンソールで構成します。
認証方法 |
説明 |
---|---|
パスワード(オンプレミス展開) |
Active Directory 以外何も構成しない場合、VMware Identity Manager は Active Directory によるパスワード認証をサポートします。この方法では、Active Directory に対して直接、ユーザーを認証します。 |
Kerberos(デスクトップ向け) |
Kerberos 認証は、ドメイン ユーザーにアプリケーション ポータルへのシングル サインオン アクセスを提供します。ユーザーは、一度ネットワークにログインすれば別途アプリケーション ポータルにサインインする必要はありません。Kerberos 認証では 2 つの認証方法を構成できます。1 つは統合 Windows 認証を使用するデスクトップ用の Kerberos 認証、もう 1 つは Active Directory と AirWatch 間で信頼関係が確立されている場合に構成できる iOS 9 モバイル デバイス用の組み込みの Kerberos 認証です。 |
証明書(オンプレミス展開) |
証明書による認証を構成すると、クライアントはデスクトップやモバイル デバイス上の証明書、およびスマート カード アダプタを使用した認証を行うことができます。 証明書による認証では、ユーザーが認証に必要な物を用意し、知識を持つ必要があります。X.509 証明書は、公開鍵基盤の規格を使用して、証明書に含まれる公開鍵がユーザーに属するものであることを確認します。 |
RSA SecurID(オンプレミス展開) |
RSA SecurID 認証が構成されている場合、VMware Identity Manager は RSA SecurID サーバの認証エージェントとして構成されます。RSA SecurID 認証では、ユーザーがトークン ベースの認証システムを使用する必要があります。RSA SecurID は、企業ネットワークの外部から VMware Identity Manager にアクセスするユーザーのための認証方法です。 |
RADIUS(オンプレミス展開) |
RADIUS 認証は、二要素認証オプションを提供します。VMware Identity Manager サービスにアクセスできる RADIUS サーバをセットアップします。ユーザーがユーザー名とパスコードでログインすると、認証のためのアクセス要求が RADIUS サーバに送信されます。 |
RSA Adaptive Authentication(オンプレミス展開) |
RSA 認証は、Active Directory によるユーザー名とパスワードのみの認証よりも強固な多要素認証を実現します。RSA Adaptive Authentication が有効の場合、リスク ポリシーで指定されたリスク インジケータが RSA ポリシー管理アプリケーションで設定されます。アダプティブ認証の VMware Identity Manager サービス構成は必要な認証プロンプトを決定するために使用されます。 |
モバイル SSO(iOS 版) |
iOS 版のモバイル SSO 認証は AirWatch により管理された iOS デバイスのシングル サインオン認証に使用されます。モバイル SSO(iOS 版)認証は、Identity Manager サービスの一部であるキー配布センター (KDC) を使用します。KDC サービスは、この認証方法を有効にする前に VMware Identity Manager サービスで開始する必要があります。 |
モバイル SSO(Android 版) |
Android 版のモバイル SSO 認証は AirWatch により管理された Android デバイスのシングル サインオン認証に使用されます。認証用の証明書を AirWatch から取得するため、VMware Identity Manager サービスと AirWatch の間でプロキシ サービスが設定されます。 |
パスワード(AirWatch コネクタ) |
AirWatch Cloud Connector は、ユーザー パスワード認証のために VMware Identity Manager サービスに統合することができます。VMware Identity Manager サービスを構成して AirWatch ディレクトリからのユーザーを同期します。 |
VMware Verify |
二要素認証が必要な場合、VMware Verify を第 2 の認証方法として使用することができます。最初の認証方法はユーザー名とパスワードで、2 つ目の認証方法は VMware Verify の要求承認またはコードです。 VMware Verify では、サードパーティのクラウド サービスを使用してこの機能をユーザー デバイスに提供します。これを行うために、名前、メール アドレス、電話番号などのユーザー情報がサービスに保存されますが、この機能を提供する目的以外では使用されません。 |
パスワード(ローカル ディレクトリ) |
パスワード(ローカル ディレクトリ)方法は、システム ディレクトリで使用される System-IDP IDプロバイダでデフォルトで有効になっています。これは、デフォルトのアクセス ポリシーに適用されます。 |
認証方法が構成された後、使用される認証方法をデバイス タイプに応じて指定するアクセス ポリシー ルールを作成します。ユーザーは、認証方法、デフォルトのアクセス ポリシー ルール、ネットワーク範囲、および構成する ID プロバイダ インスタンスに基づいて認証されます。ユーザーに適用する認証方法の管理を参照してください。