管理コンソールで、Active Directory に接続するのに必要な情報を指定し、VMware Identity Manager ディレクトリと同期するユーザーおよびグループを選択します。

Active Directory では、LDAP 経由の Active Directory または Active Directory(統合 Windows 認証)の接続オプションを使用できます。LDAP 経由の Active Directory 接続では、DNS サービス ロケーション ルックアップがサポートされます。Active Directory(統合 Windows 認証)で、参加するドメインを構成します。

前提条件

  • [ユーザー属性] ページで、必須の属性を選択し、必要に応じてその他の属性を追加します。ディレクトリと同期する属性を選択するを参照してください。
    重要: : XenApp リソースと VMware Identity Manager の同期を計画している場合は、 [distinguishedName] を必須属性にする必要があります。この選択は、ディレクトリを作成する前に行う必要があります。ディレクトリ作成後は属性を必須属性に変更できません。
  • Active Directory から同期する Active Directory のグループとユーザーのリスト。
  • LDAP 経由の Active Directory の場合、ベース DN、バインド DN、およびバインド DN パスワードなどの情報が必要となります。
    注: : 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
  • Active Directory(統合 Windows 認証)では、ドメインのバインド ユーザー UPN アドレスとパスワードなどの情報が必要となります。
    注: : 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
  • Active Directory が SSL または STARTTLS 経由のアクセスを必要とする場合は、Active Directory ドメイン コントローラのルート CA 証明書が必要となります。
  • Active Directory(統合 Windows 認証)では、マルチフォレスト Active Directory を構成しており、ドメイン ローカル グループに異なるフォレストのドメインのメンバーが含まれる場合、バインド ユーザーをドメイン ローカル グループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメイン ローカル グループに含まれません。

手順

  1. 管理コンソールで、[ID とアクセス管理] タブをクリックします。
  2. [ディレクトリ] ページで、[ディレクトリの追加] をクリックします。
  3. この VMware Identity Manager ディレクトリの名前を入力します。
  4. 環境内の Active Directory のタイプを選択して、接続情報を構成します。
    オプション 説明
    LDAP 経由の Active Directory
    1. [コネクタの同期] フィールドで、Active Directory との同期に使用するコネクタを選択します。
    2. この Active Directory をユーザー認証に使用する場合は、[認証] フィールドで、[はい] をクリックします。

      ユーザー認証にサードパーティの ID プロバイダが使用されている場合、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

    3. [ディレクトリ検索属性] フィールドで、ユーザー名を含むアカウント属性を選択します。
    4. Active Directory が DNS サービス ロケーション ルックアップを使用する場合は、次のように選択します。
      • [サービス ロケーション] セクションで、[このディレクトリ は DNS サービス ロケーションをサポートします] チェックボックスを選択します。

        ディレクトリの作成時に、ドメイン コントローラのリストが自動入力される domain_krb.properties ファイルが作成されます。ドメイン コントローラの選択(domain_krb.properties ファイル)を参照してください。

      • Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。

        証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

        注: : Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。
    5. Active Directory が DNS サービス ロケーション ルックアップを使用しない場合は、次のように選択します。
      • [サービス ロケーション] セクションで、[このディレクトリ は DNS サービス ロケーションをサポートします] チェックボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。

        グローバル カタログとしてディレクトリを構成するには、Active Directory 環境の「マルチ ドメイン、シングル フォレストの Active Directory 環境」セクションを参照してください。

      • Active Directory が SSL 経由のアクセスを必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。

        証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

        注: : Active Directory が SSL を必要とする場合、証明書がなければディレクトリを作成できません。
    6. [ベース DN] フィールドに、アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。
    7. [バインド DN] フィールドに、ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。
      注: : 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
    8. バインド パスワードを入力したら、[接続をテスト] をクリックして、ディレクトリが Active Directory に接続できることを確認します。
    Active Directory(統合 Windows 認証)
    1. [コネクタの同期] フィールドで、Active Directory との同期に使用するコネクタを選択します。
    2. この Active Directory をユーザー認証に使用する場合は、[認証] フィールドで、[はい] をクリックします。

      ユーザー認証にサードパーティの ID プロバイダが使用されている場合、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

    3. [ディレクトリ検索属性] フィールドで、ユーザー名を含むアカウント属性を選択します。
    4. Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには STARTTLS を使用するすべての接続が必要] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。

      証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

      ディレクトリに複数のドメインが含まれる場合は、ルート CA 証明書をすべてのドメインに 1 つずつ追加していきます。

      注: : Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。
    5. 参加する Active Directory ドメインの名前を入力します。ドメインへの参加権限を持つユーザーの名前とパスワードを入力します。詳細については、ドメインに参加するために必要な権限を参照してください。
    6. [バインド ユーザー UPN] フィールドで、ドメインで認証できるユーザーの [ユーザー プリンシパル名] を入力します。たとえば、[email protected] のように入力します。
      注: : 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
    7. バインド ユーザーのパスワードを入力します。
  5. [保存して次へ] をクリックします。
    ドメイン リストのページが表示されます。
  6. LDAP 経由の Active Directory では、ドメインにチェック マークが付けられて表示されます。
    [Active Directory(統合 Windows 認証)] で、この Active Directory 接続に関連付ける必要があるドメインを選択します。
    注: : ディレクトリが作成された後に信頼するドメインを追加する場合、サービスは新規に追加されたドメインを自動的に検出しません。サービスによるドメインの検出を有効にするには、 コネクタをドメインから切り離してから、ドメインに再度参加させる必要があります。 コネクタがドメインに再度参加すると、信頼するドメインがリストに表示されます。

    [次へ] をクリックします。

  7. VMware Identity Manager ディレクトリの属性名が正しい Active Directory 属性にマッピングされていることを確認し、必要に応じて変更して、[次へ] をクリックします。
  8. Active Directory から VMware Identity Manager ディレクトリに同期するグループを選択します。
    オプション 説明
    グループ DN を指定 グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。
    1. [+] をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。
      重要: : 入力したベース DN の配下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
    2. [グループの検索] をクリックします。

      [同期するグループ] 列には、DN に含まれるグループの数が表示されます。

    3. DN に含まれるすべてのグループを選択する場合は [すべてを選択] をクリックします。グループを個別に選択する場合は [選択] をクリックし、同期対象となる特定のグループを選択します。
    注: : グループを同期する際、Active Directory のプライマリ グループである Domain Users に属していないユーザーの同期は行われません。
    ネストされたグループ メンバーを同期

    [ネストされたグループ メンバーを同期] オプションは、デフォルトで有効になっています。このオプションが有効になっているときは、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。VMware Identity Manager ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。

    [ネストされたグループ メンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory 構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。

  9. [次へ] をクリックします。
  10. 必要に応じて、同期するユーザーを追加で指定します。
    1. [+] をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。
      重要: : 入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
    2. (オプション)ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。
      フィルタリングの基準となるユーザー属性、クエリ ルールおよび値を選択します。
  11. [次へ] をクリックします。
  12. ページを確認して、ディレクトリに同期するユーザーとグループの数や、同期スケジュールを確認します。

    ユーザーとグループや、同期の頻度に変更を加えるには、[編集] リンクをクリックします。

  13. [ディレクトリを同期] をクリックして、ディレクトリとの同期を開始します。

結果

Active Directory への接続が確立され、ユーザーとグループは Active Directory から VMware Identity Manager ディレクトリに同期されます。バインド DN ユーザーは、デフォルトで VMware Identity Manager の管理者ロールを持っています。

次のタスク

  • DNS サービス ロケーションをサポートするディレクトリを作成した場合は、domain_krb.properties ファイルが作成され、ドメイン コントローラのリストがこのファイルに自動的に入力されています。ファイルを表示して、ドメイン コントローラのリストの確認や編集を行います。ドメイン コントローラの選択(domain_krb.properties ファイル)を参照してください。
  • 認証方法をセットアップします。コネクタを認証にも使用している場合、ユーザーとグループがディレクトリに同期された後で、追加のコネクタ認証をセットアップできます。サードパーティの認証 ID プロバイダを使用している場合は、コネクタでその ID プロバイダを構成します。
  • デフォルトのアクセス ポリシーを確認します。デフォルトのアクセス ポリシーでは、すべてのネットワーク範囲にあるすべてのアプライアンスに対し、Web ブラウザへのアクセスには 8 時間のセッション タイムアウト、クライアント アプリケーションへのアクセスには 2,160 時間(90日間)のセッション タイムアウトが設定されています。デフォルトのアクセス ポリシーは変更できます。また、Web アプリケーションをカタログに追加するときに、新しいアクセス ポリシーを作成することができます。
  • 管理コンソール、ユーザー ポータル ページおよびログイン画面にカスタム ブランディングを適用します。