管理コンソールで、Active Directory に接続するのに必要な情報を指定し、VMware Identity Manager ディレクトリと同期するユーザーおよびグループを選択します。

このタスクについて

Active Directory では、LDAP 経由の Active Directory または Active Directory(統合 Windows 認証)の接続オプションを使用できます。LDAP 経由の Active Directory 接続では、DNS サービス ロケーション ルックアップがサポートされます。Active Directory(統合 Windows 認証)で、参加するドメインを構成します。

前提条件

  • [ユーザー属性] ページで、必須の属性を選択し、必要に応じてその他の属性を追加します。ディレクトリと同期する属性を選択するを参照してください。

    重要:

    XenApp リソースと VMware Identity Manager の同期を計画している場合は、distinguishedName を必須属性にする必要があります。この選択は、ディレクトリを作成する前に行う必要があります。ディレクトリ作成後は属性を必須属性に変更できません。

  • Active Directory から同期する Active Directory のグループとユーザーのリスト。

  • LDAP 経由の Active Directory の場合、ベース DN、バインド DN、およびバインド DN パスワードなどの情報が必要となります。

    注:

    有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。

  • Active Directory(統合 Windows 認証)では、ドメインのバインド ユーザー UPN アドレスとパスワードなどの情報が必要となります。

    注:

    有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。

  • Active Directory が SSL または STARTTLS 経由のアクセスを必要とする場合は、Active Directory ドメイン コントローラのルート CA 証明書が必要となります。

  • Active Directory(統合 Windows 認証)では、マルチフォレスト Active Directory を構成しており、ドメイン ローカル グループに異なるフォレストのドメインのメンバーが含まれる場合、バインド ユーザーをドメイン ローカル グループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメイン ローカル グループに含まれません。

手順

  1. 管理コンソールで、ID とアクセス管理 タブをクリックします。
  2. [ディレクトリ] ページで、ディレクトリの追加 をクリックします。
  3. この VMware Identity Manager ディレクトリの名前を入力します。
  4. 環境内の Active Directory のタイプを選択して、接続情報を構成します。

    オプション

    説明

    LDAP 経由の Active Directory

    1. コネクタの同期 フィールドで、Active Directory との同期に使用するコネクタを選択します。

    2. この Active Directory をユーザー認証に使用する場合は、認証 フィールドで、はい をクリックします。

      ユーザー認証にサードパーティの ID プロバイダが使用されている場合、いいえ をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

    3. ディレクトリ検索属性 フィールドで、ユーザー名を含むアカウント属性を選択します。

    4. Active Directory が DNS サービス ロケーション ルックアップを使用する場合は、次のように選択します。

      • サービス ロケーション セクションで、このディレクトリ は DNS サービス ロケーションをサポートします チェックボックスを選択します。

        ディレクトリの作成時に、ドメイン コントローラのリストが自動入力される domain_krb.properties ファイルが作成されます。ドメイン コントローラの選択(domain_krb.properties ファイル)を参照してください。

      • Active Directory が STARTTLS 暗号化を必要とする場合は、証明書 セクションの このディレクトリには SSL を使用するすべての接続が必要です チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして SSL 証明書 フィールドにペーストします。

        証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

        注:

        Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。

    5. Active Directory が DNS サービス ロケーション ルックアップを使用しない場合は、次のように選択します。

      • サービス ロケーション セクションで、このディレクトリ は DNS サービス ロケーションをサポートします チェックボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。

        グローバル カタログとしてディレクトリを構成するには、Active Directory 環境の「マルチ ドメイン、シングル フォレストの Active Directory 環境」セクションを参照してください。

      • Active Directory が SSL 経由のアクセスを必要とする場合は、証明書 セクションの このディレクトリには SSL を使用するすべての接続が必要です チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして SSL 証明書 フィールドにペーストします。

        証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

        注:

        Active Directory が SSL を必要とする場合、証明書がなければディレクトリを作成できません。

    6. ベース DN フィールドに、アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。

    7. バインド DN フィールドに、ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。

      注:

      有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。

    8. バインド パスワードを入力したら、接続をテスト をクリックして、ディレクトリが Active Directory に接続できることを確認します。

    Active Directory(統合 Windows 認証)

    1. コネクタの同期 フィールドで、Active Directory との同期に使用するコネクタを選択します。

    2. この Active Directory をユーザー認証に使用する場合は、認証 フィールドで、はい をクリックします。

      ユーザー認証にサードパーティの ID プロバイダが使用されている場合、いいえ をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

    3. ディレクトリ検索属性 フィールドで、ユーザー名を含むアカウント属性を選択します。

    4. Active Directory が STARTTLS 暗号化を必要とする場合は、証明書 セクションの このディレクトリには STARTTLS を使用するすべての接続が必要 チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして SSL 証明書 フィールドにペーストします。

      証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

      ディレクトリに複数のドメインが含まれる場合は、ルート CA 証明書をすべてのドメインに 1 つずつ追加していきます。

      注:

      Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。

    5. 参加する Active Directory ドメインの名前を入力します。ドメインへの参加権限を持つユーザーの名前とパスワードを入力します。詳細については、ドメインに参加するために必要な権限を参照してください。

    6. [バインド ユーザー UPN] フィールドで、ドメインで認証できるユーザーの [ユーザー プリンシパル名] を入力します。たとえば、[email protected] のように入力します。

      注:

      有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。

    7. バインド ユーザーのパスワードを入力します。

  5. 保存して次へ をクリックします。

    ドメイン リストのページが表示されます。

  6. LDAP 経由の Active Directory では、ドメインにチェック マークが付けられて表示されます。

    [Active Directory(統合 Windows 認証)] で、この Active Directory 接続に関連付ける必要があるドメインを選択します。

    注:

    ディレクトリが作成された後に信頼するドメインを追加する場合、サービスは新規に追加されたドメインを自動的に検出しません。サービスによるドメインの検出を有効にするには、コネクタをドメインから切り離してから、ドメインに再度参加させる必要があります。コネクタがドメインに再度参加すると、信頼するドメインがリストに表示されます。

    次へ をクリックします。

  7. VMware Identity Manager ディレクトリの属性名が正しい Active Directory 属性にマッピングされていることを確認し、必要に応じて変更して、次へ をクリックします。
  8. Active Directory から VMware Identity Manager ディレクトリに同期するグループを選択します。

    オプション

    説明

    グループ DN を指定

    グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。

    1. + をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。

      重要:

      入力したベース DN の配下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。

    2. グループの検索 をクリックします。

      同期するグループ 列には、DN に含まれるグループの数が表示されます。

    3. DN に含まれるすべてのグループを選択する場合は すべてを選択 をクリックします。グループを個別に選択する場合は 選択 をクリックし、同期対象となる特定のグループを選択します。

    注:

    グループを同期する際、Active Directory のプライマリ グループである Domain Users に属していないユーザーの同期は行われません。

    ネストされたグループ メンバーを同期

    ネストされたグループ メンバーを同期 オプションは、デフォルトで有効になっています。このオプションが有効になっているときは、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。VMware Identity Manager ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。

    ネストされたグループ メンバーを同期 オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory 構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。

  9. 次へ をクリックします。
  10. 必要に応じて、同期するユーザーを追加で指定します。
    1. + をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。
      重要:

      入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。

    2. (オプション)ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。

      フィルタリングの基準となるユーザー属性、クエリ ルールおよび値を選択します。

  11. 次へ をクリックします。
  12. ページを確認して、ディレクトリに同期するユーザーとグループの数や、同期スケジュールを確認します。

    ユーザーとグループや、同期の頻度に変更を加えるには、編集 リンクをクリックします。

  13. ディレクトリを同期 をクリックして、ディレクトリとの同期を開始します。

タスクの結果

Active Directory への接続が確立され、ユーザーとグループは Active Directory から VMware Identity Manager ディレクトリに同期されます。バインド DN ユーザーは、デフォルトで VMware Identity Manager の管理者ロールを持っています。

次のタスク

  • DNS サービス ロケーションをサポートするディレクトリを作成した場合は、domain_krb.properties ファイルが作成され、ドメイン コントローラのリストがこのファイルに自動的に入力されています。ファイルを表示して、ドメイン コントローラのリストの確認や編集を行います。ドメイン コントローラの選択(domain_krb.properties ファイル)を参照してください。

  • 認証方法をセットアップします。コネクタを認証にも使用している場合、ユーザーとグループがディレクトリに同期された後で、追加のコネクタ認証をセットアップできます。サードパーティの認証 ID プロバイダを使用している場合は、コネクタでその ID プロバイダを構成します。

  • デフォルトのアクセス ポリシーを確認します。デフォルトのアクセス ポリシーでは、すべてのネットワーク範囲にあるすべてのアプライアンスに対し、Web ブラウザへのアクセスには 8 時間のセッション タイムアウト、クライアント アプリケーションへのアクセスには 2,160 時間(90日間)のセッション タイムアウトが設定されています。デフォルトのアクセス ポリシーは変更できます。また、Web アプリケーションをカタログに追加するときに、新しいアクセス ポリシーを作成することができます。

  • 管理コンソール、ユーザー ポータル ページおよびログイン画面にカスタム ブランディングを適用します。