エンタープライズ LDAP ディレクトリと VMware Identity Managerを連携して、ユーザーとグループを LDAP ディレクトリから VMware Identity Manager サービスに同期することができます。

このタスクについて

LDAP ディレクトリを統合するには、対応する VMware Identity Managerディレクトリを作成し、ユーザーとグループを LDAP ディレクトリからVMware Identity Manager ディレクトリに同期します。後続の更新のために定期的な同期スケジュールを設定することができます。

また、ユーザーのために同期させる LDAP 属性を選択し、VMware Identity Manager属性にマップします。

LDAP ディレクトリ構成はデフォルトのスキーマをベースにすることができますが、カスタムのスキーマを作成することもできます。また、カスタムの属性を定義することもできます。VMware Identity Managerで、LDAP ディレクトリを検索してユーザーまたはグループ オブジェクトを取得できるようにするには、LDAP ディレクトリに適用可能な LDAP 検索フィルタおよび属性名を指定する必要があります。

具体的には、次の情報を指定する必要があります。

  • グループ、ユーザーおよびバインド ユーザーを取得するための LDAP 検索フィルタ

  • グループ メンバーシップ、UUID および識別名のための LDAP 属性名

LDAP ディレクトリの統合機能には特定の制限が適用されます。LDAP ディレクトリ統合の制限を参照してください。

前提条件

  • ID とアクセス管理 > セットアップ > ユーザー属性 ページの属性を確認し、同期する属性を追加します。ディレクトリを作成するときは、VMware Identity Manager属性を LDAP ディレクトリ属性にマップします。これらの属性はディレクトリ内のユーザーに対して同期されます。

    注:

    ユーザー属性を変更する場合は、サービスの他のディレクトリに対する影響を考慮してください。Active Directory と LDAP ディレクトリの両方を追加する計画の場合は、必須のマークを付けることができる userName を除いて、属性には必須のマークが付いていないことを確認してください。[ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されます。属性に必須のマークが付いている場合は、その属性を持たないユーザーは VMware Identity Managerサービスに同期されません。

  • バインド DN ユーザー アカウント。有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。

  • LDAP ディレクトリでは、ユーザーとグループの UUID はプレーン テキスト形式である必要があります。

  • LDAP ディレクトリには、すべてのユーザーおよびグループに対するドメイン属性が存在する必要があります。

    VMware Identity Managerディレクトリを作成するときは、この属性を VMware Identity Managerdomain 属性にマップします。

  • ユーザー名にスペースを含めることはできません。ユーザー名にスペースが含まれていると、ユーザーは同期されますが、資格を利用できません。

  • 証明書認証を使用する場合、ユーザーは userPrincipalName とメール アドレス属性の値を持っている必要があります。

手順

  1. 管理コンソールで、ID とアクセス管理 タブをクリックします。
  2. [ディレクトリ] ページで、ディレクトリを追加 をクリックして LDAP ディレクトリを追加 を選択します。
  3. [LDAP ディレクトリを追加] ページに必要な情報を入力します。

    オプション

    説明

    ディレクトリ名

    VMware Identity Managerディレクトリの名前。

    ディレクトリの同期と認証

    1. コネクタを同期 フィールドで、LDAP ディレクトリから VMware Identity Manager ディレクトリにユーザーとグループを同期するためのコネクタを選択します。

      コネクタ コンポーネントは、デフォルトではVMware Identity Managerサービスで常に利用できます。このコネクタは、ドロップダウン リストに表示されます。高可用性を実現するために複数の VMware Identity Managerアプライアンスを展開すると、それぞれのコネクタ コンポーネントがリストに表示されます。

      LDAP ディレクトリ用の個別のコネクタは必要ありません。コネクタは、Active Directory であるか LDAP ディレクトリであるかにかかわらず複数のディレクトリをサポートすることができます。追加のコネクタが必要なシナリオについては、『VMware Identity Manager のインストールと構成ガイド』の「追加のコネクタ アプライアンスのインストール」を参照してください。

    2. この LDAP ディレクトリを使用してユーザー認証を行う場合は、認証 フィールドで はい を選択します。

      サードパーティの ID プロバイダを使用してユーザーを認証する場合は、いいえ を選択します。ユーザーとグループを同期するようにディレクトリ接続を追加したら、ID とアクセス管理 > 管理 > ID プロバイダ ページの順に移動して、認証に使用するサードパーティの ID プロバイダを追加します。

    3. ディレクトリ検索属性 フィールドで、ユーザー名に使用する LDAP ディレクトリ属性を指定します。属性が表示されない場合は、カスタム を選択して、属性名を入力します。たとえば、cn にように入力します。

    サーバの場所

    LDAP ディレクトリ サーバのホスト名とポート番号を入力します。サーバ ホストには、完全修飾ドメイン名または IP アドレスのいずれかを指定することができます。たとえば、myLDAPserver.example.com または 100.00.00.0 のように入力します。

    ロード バランサの背後にサーバのクラスタがある場合は、代わりにロード バランサの情報を入力します。

    LDAP 構成

    VMware Identity Managerが LDAP ディレクトリのクエリに使用することができる LDAP 検索フィルタおよび属性を指定します。デフォルト値はコア LDAP スキーマに基づいて提供されます。

    LDAP クエリ

    • グループの取得:グループ オブジェクトを取得するための検索フィルタ。

      例:(objectClass=group)

    • バインド ユーザーの取得:バインド ユーザー オブジェクト、つまりディレクトリにバインドすることができるユーザーを取得するための検索フィルタ。

      例:(objectClass=person)

    • ユーザーの取得:同期するユーザーを取得するための検索フィルタ。

      例:(&(objectClass=user)(objectCategory=person))

    属性

    • メンバーシップ:グループのメンバーを定義するために LDAP ディレクトリで使用される属性。

      例:member

    • オブジェクト UUID:ユーザーまたはグループの UUID を定義するために LDAP ディレクトリで使用される属性。

      例:entryUUID

    • 識別名:LDAP ディレクトリでユーザーまたはグループの識別名に使用される属性。

      例:entryDN

    証明書

    LDAP ディレクトリが SSL 経由のアクセスを必要とする場合は、このディレクトリには SSL を使用するすべての接続が必要です を選択し、LDAP ディレクトリ サーバのルート CA SSL 証明書をコピーして貼り付けます。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

    バインド ユーザーの詳細

    ベース DN:検索を開始する DN を入力します。たとえば、cn=users,dc=example,dc=com のように入力します。

    バインド DN:LDAP ディレクトリにバインドするために使用するユーザー名を入力します。

    注:

    有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。

    バインド DN パスワード:バインド DN ユーザーのパスワードを入力します。

  4. LDAP ディレクトリ サーバへの接続をテストするには、接続をテスト をクリックします。

    接続に成功しない場合は、入力した情報を確認して、適切な変更を行います。

  5. 保存して次へ をクリックします。
  6. [ドメイン] ページで、正しいドメインがリストされることを確認し、次へ をクリックします。
  7. [属性をマップ] ページで、VMware Identity Manager属性が正しい LDAP 属性にマップされていることを確認します。

    これらの属性がユーザーに対して同期されます。

    重要:

    domain 属性のマッピングを指定する必要があります

    属性は [ユーザー属性] ページからリストに追加することができます。

  8. 次へ をクリックします。
  9. グループのページで、+ をクリックして、LDAP ディレクトリから VMware Identity Manager ディレクトリに同期するグループを選択します。

    LDAP ディレクトリに同じ名前のグループが複数ある場合は、グループ ページ内でグループに一意の名前を指定する必要があります。

    ネストされたグループ ユーザーの同期 オプションは、デフォルトで有効になっています。このオプションが有効になっているときは、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。VMware Identity Managerディレクトリでは、これらのユーザーは同期対象として選択したトップレベルのグループのメンバーとして表示されます。実際には、選択されたグループの階層がフラット化され、すべてのレベルのユーザーが選択されたグループのメンバーとして VMware Identity Manager に表示されます。

    このオプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模なディレクトリ構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。

  10. 次へ をクリックします。
  11. + をクリックして、別のユーザーを追加します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com と入力します。

    ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。フィルタリングの基準となるユーザー属性、クエリ ルールおよび値を選択します。

    次へ をクリックします。

  12. ディレクトリに同期するユーザーとグループの数や、デフォルトの同期スケジュールをページで確認します。

    ユーザーとグループや、同期の頻度に変更を加えるには、編集 リンクをクリックします。

  13. ディレクトリを同期 をクリックして、ディレクトリ同期を開始します。

タスクの結果

LDAP ディレクトリへの接続が確立され、ユーザーとグループは LDAP ディレクトリからVMware Identity Managerディレクトリに同期されます。バインド DN ユーザーは、デフォルトで VMware Identity Managerの管理者ロールを持っています。