ID プロバイダ インスタンスを VMware Identity Manager環境に追加して構成することで、高可用性を実現し、追加のユーザー認証方法をサポートし、ユーザー IP アドレス範囲に基づいて柔軟にユーザー認証プロセスを管理できます。

前提条件

  • 認証時に ID プロバイダ インスタンスが使用するネットワーク範囲を指定します。ネットワーク範囲を追加または編集するを参照してください。

  • サードパーティのメタデータ ドキュメントにアクセスします。メタデータの URL または実際のメタデータのいずれかにアクセスします。

手順

  1. 管理コンソールの [ID とアクセス管理] タブで、ID プロバイダ を選択します。
  2. ID プロバイダを追加 をクリックします。
  3. ID プロバイダ インスタンスの設定を編集します。

    フォーム項目

    説明

    ID プロバイダ名

    この ID プロバイダ インスタンスの名前を入力します。

    SAML のバインド

    AuthnRequest を、HTTP POST または HTTP リダイレクトのどちらの方法で送信するかを選択します。

    デフォルトは HTTP リダイレクトです。

    SAML メタデータ

    サードパーティの XML ベースの ID プロバイダ メタデータ ドキュメントを追加して、ID プロバイダとの信頼を確立します。

    1. SAML メタデータ URL または xml コンテンツをテキスト ボックスに入力します。

    2. プロセス IdP メタデータ をクリックします。IdP でサポートされている NameID の形式は、メタデータから抽出され、[名前 ID の形式] テーブルに追加されます。

    3. [名前 ID 値] 列では、表示される ID 形式にマッピングするサービスのユーザー属性を選択します。独自のサードパーティ名の ID 形式を追加して、サービスのユーザー属性値にマッピングできます。

    4. (オプション)NameIDPolicy 応答識別子の文字列形式を選択します。

    ジャストインタイム プロビジョニング

    N/A

    ユーザー

    この ID プロバイダを使用して認証できるユーザーを含む 他のディレクトリ を選択します。

    ネットワーク

    サービス内で構成されている既存のネットワーク範囲が表示されます。

    この ID プロバイダ インスタンスに振り分けるユーザーのネットワーク範囲を、その IP アドレスに基づいて選択します。

    認証方法

    サードパーティ ID プロバイダによってサポートされる認証方法を追加します。認証方法をサポートする SAML 認証コンテキスト クラスを選択します。

    シングル サインアウト構成

    シングル サインアウトを有効にすると、ユーザーがログアウトするときに、ID プロバイダのセッションからもログアウトされます。シングル サインアウトを有効にしない場合、ユーザーがログアウトしても、ID プロバイダのセッションがアクティブなままになります。

    (オプション)ID プロバイダで SAML シングル ログアウト プロファイルがサポートされている場合、シングル サインアウトを有効にし、リダイレクト URL テキスト ボックスを空白にします。ID プロバイダで SAML シングル ログアウト プロファイルがサポートされていない場合、シングル サインアウトを有効にし、ユーザーが VMware Identity Managerからログアウトするときのリダイレクト先となる ID プロバイダのログアウト URL を入力します。

    リダイレクト URL を構成済みで、ID プロバイダのログアウト URL にリダイレクトされたユーザーを VMware Identity Managerのログイン ページに戻すようにする場合、ID プロバイダのリダイレクト URL で使用されるパラメータ名を入力します。

    SAML 署名証明書

    サービス プロバイダ (SP) メタデータ をクリックして、VMware Identity Manager の SAML サービス プロバイダのメタデータ URL を確認します。URL をコピーして保存します。この URL は、サードパーティ ID プロバイダで SAML アサーションを編集して VMware Identity Managerユーザーをマッピングするときに構成されます。

    IdP ホスト名

    ホスト名のテキスト ボックスが表示されている場合は、ID プロバイダがリダイレクトされる認証用ホストの名前を入力します。443 以外の非標準ポートを使用している場合、ホスト名を「ホスト名:ポート」の形式で設定します。たとえば、myco.example.com:8443 のように入力します。

  4. 追加 をクリックします。

次のタスク

  • サードパーティ ID プロバイダの構成を編集して、保存した SAML 署名証明書の URL を追加します。