サービスへの Active Directory 接続の構成

管理コンソールで、Active Directory に接続するのに必要な情報を指定し、VMware Identity Manager ディレクトリと同期するユーザーおよびグループを選択します。

このタスクについて

Active Directory では、LDAP 経由の Active Directory または Active Directory（統合 Windows 認証）の接続オプションを使用できます。LDAP 経由の Active Directory 接続では、DNS サービスロケーションルックアップがサポートされます。Active Directory（統合 Windows 認証）で、参加するドメインを構成します。

前提条件

[ユーザー属性] ページで、必須の属性を選択し、必要に応じてその他の属性を追加します。ディレクトリと同期する属性を選択するを参照してください。

重要:
XenApp リソースと VMware Identity Manager の同期を計画している場合は、distinguishedName を必須属性にする必要があります。この選択は、ディレクトリを作成する前に行う必要があります。ディレクトリ作成後は属性を必須属性に変更できません。
Active Directory から同期する Active Directory のグループとユーザーのリスト。
LDAP 経由の Active Directory の場合、ベース DN、バインド DN、およびバインド DN パスワードなどの情報が必要となります。

注:
有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。
Active Directory（統合 Windows 認証）では、ドメインのバインドユーザー UPN アドレスとパスワードなどの情報が必要となります。

注:
有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。
Active Directory が SSL または STARTTLS 経由のアクセスを必要とする場合は、Active Directory ドメインコントローラのルート CA 証明書が必要となります。
Active Directory（統合 Windows 認証）では、マルチフォレスト Active Directory を構成しており、ドメインローカルグループに異なるフォレストのドメインのメンバーが含まれる場合、バインドユーザーをドメインローカルグループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメインローカルグループに含まれません。

手順

管理コンソールで、ID とアクセス管理タブをクリックします。
[ディレクトリ] ページで、ディレクトリの追加をクリックします。
この VMware Identity Manager ディレクトリの名前を入力します。

環境内の Active Directory のタイプを選択して、接続情報を構成します。

オプション	説明
LDAP 経由の Active Directory	コネクタの同期フィールドで、Active Directory との同期に使用するコネクタを選択します。この Active Directory をユーザー認証に使用する場合は、認証フィールドで、はいをクリックします。ユーザー認証にサードパーティの ID プロバイダが使用されている場合、いいえをクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。ディレクトリ検索属性フィールドで、ユーザー名を含むアカウント属性を選択します。 Active Directory が DNS サービスロケーションルックアップを使用する場合は、次のように選択します。サービスロケーションセクションで、このディレクトリは DNS サービスロケーションをサポートしますチェックボックスを選択します。ディレクトリの作成時に、ドメインコントローラのリストが自動入力される domain_krb.properties ファイルが作成されます。ドメインコントローラの選択（domain_krb.properties ファイル）を参照してください。 Active Directory が STARTTLS 暗号化を必要とする場合は、証明書セクションのこのディレクトリには SSL を使用するすべての接続が必要ですチェックボックスを選択し、Active Directory のルート CA 証明書をコピーして SSL 証明書フィールドにペーストします。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。注: Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。 Active Directory が DNS サービスロケーションルックアップを使用しない場合は、次のように選択します。サービスロケーションセクションで、このディレクトリは DNS サービスロケーションをサポートしますチェックボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。グローバルカタログとしてディレクトリを構成するには、Active Directory 環境の「マルチドメイン、シングルフォレストの Active Directory 環境」セクションを参照してください。 Active Directory が SSL 経由のアクセスを必要とする場合は、証明書セクションのこのディレクトリには SSL を使用するすべての接続が必要ですチェックボックスを選択し、Active Directory のルート CA 証明書をコピーして SSL 証明書フィールドにペーストします。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。注: Active Directory が SSL を必要とする場合、証明書がなければディレクトリを作成できません。ベース DN フィールドに、アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。バインド DN フィールドに、ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。注: 有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。バインドパスワードを入力したら、接続をテストをクリックして、ディレクトリが Active Directory に接続できることを確認します。
Active Directory（統合 Windows 認証）	コネクタの同期フィールドで、Active Directory との同期に使用するコネクタを選択します。この Active Directory をユーザー認証に使用する場合は、認証フィールドで、はいをクリックします。ユーザー認証にサードパーティの ID プロバイダが使用されている場合、いいえをクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。ディレクトリ検索属性フィールドで、ユーザー名を含むアカウント属性を選択します。 Active Directory が STARTTLS 暗号化を必要とする場合は、証明書セクションのこのディレクトリには STARTTLS を使用するすべての接続が必要チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして SSL 証明書フィールドにペーストします。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。ディレクトリに複数のドメインが含まれる場合は、ルート CA 証明書をすべてのドメインに 1 つずつ追加していきます。注: Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。参加する Active Directory ドメインの名前を入力します。ドメインへの参加権限を持つユーザーの名前とパスワードを入力します。詳細については、ドメインに参加するために必要な権限を参照してください。 [バインドユーザー UPN] フィールドで、ドメインで認証できるユーザーの [ユーザープリンシパル名] を入力します。たとえば、[email protected] のように入力します。注: 有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。バインドユーザーのパスワードを入力します。

オプション

説明

LDAP 経由の Active Directory

コネクタの同期フィールドで、Active Directory との同期に使用するコネクタを選択します。
この Active Directory をユーザー認証に使用する場合は、認証フィールドで、はいをクリックします。
ユーザー認証にサードパーティの ID プロバイダが使用されている場合、いいえをクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。
ディレクトリ検索属性フィールドで、ユーザー名を含むアカウント属性を選択します。
Active Directory が DNS サービスロケーションルックアップを使用する場合は、次のように選択します。
- サービスロケーションセクションで、このディレクトリは DNS サービスロケーションをサポートしますチェックボックスを選択します。
  ディレクトリの作成時に、ドメインコントローラのリストが自動入力される domain_krb.properties ファイルが作成されます。ドメインコントローラの選択（domain_krb.properties ファイル）を参照してください。
- Active Directory が STARTTLS 暗号化を必要とする場合は、証明書セクションのこのディレクトリには SSL を使用するすべての接続が必要ですチェックボックスを選択し、Active Directory のルート CA 証明書をコピーして SSL 証明書フィールドにペーストします。
  証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。
  
  注:
  Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。
Active Directory が DNS サービスロケーションルックアップを使用しない場合は、次のように選択します。
- サービスロケーションセクションで、このディレクトリは DNS サービスロケーションをサポートしますチェックボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。
  グローバルカタログとしてディレクトリを構成するには、Active Directory 環境の「マルチドメイン、シングルフォレストの Active Directory 環境」セクションを参照してください。
- Active Directory が SSL 経由のアクセスを必要とする場合は、証明書セクションのこのディレクトリには SSL を使用するすべての接続が必要ですチェックボックスを選択し、Active Directory のルート CA 証明書をコピーして SSL 証明書フィールドにペーストします。
  証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。
  
  注:
  Active Directory が SSL を必要とする場合、証明書がなければディレクトリを作成できません。
ベース DN フィールドに、アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。
バインド DN フィールドに、ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。

注:
有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。
バインドパスワードを入力したら、接続をテストをクリックして、ディレクトリが Active Directory に接続できることを確認します。

Active Directory（統合 Windows 認証）

コネクタの同期フィールドで、Active Directory との同期に使用するコネクタを選択します。
この Active Directory をユーザー認証に使用する場合は、認証フィールドで、はいをクリックします。
ユーザー認証にサードパーティの ID プロバイダが使用されている場合、いいえをクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。
ディレクトリ検索属性フィールドで、ユーザー名を含むアカウント属性を選択します。
Active Directory が STARTTLS 暗号化を必要とする場合は、証明書セクションのこのディレクトリには STARTTLS を使用するすべての接続が必要チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして SSL 証明書フィールドにペーストします。
証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。
ディレクトリに複数のドメインが含まれる場合は、ルート CA 証明書をすべてのドメインに 1 つずつ追加していきます。

注:
Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。
参加する Active Directory ドメインの名前を入力します。ドメインへの参加権限を持つユーザーの名前とパスワードを入力します。詳細については、ドメインに参加するために必要な権限を参照してください。
[バインドユーザー UPN] フィールドで、ドメインで認証できるユーザーの [ユーザープリンシパル名] を入力します。たとえば、[email protected] のように入力します。

注:
有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。
バインドユーザーのパスワードを入力します。

保存して次へをクリックします。

ドメインリストのページが表示されます。
LDAP 経由の Active Directory では、ドメインにチェックマークが付けられて表示されます。

[Active Directory（統合 Windows 認証）] で、この Active Directory 接続に関連付ける必要があるドメインを選択します。

注:
ディレクトリが作成された後に信頼するドメインを追加する場合、サービスは新規に追加されたドメインを自動的に検出しません。サービスによるドメインの検出を有効にするには、コネクタをドメインから切り離してから、ドメインに再度参加させる必要があります。コネクタがドメインに再度参加すると、信頼するドメインがリストに表示されます。

次へをクリックします。
VMware Identity Manager ディレクトリの属性名が正しい Active Directory 属性にマッピングされていることを確認し、必要に応じて変更して、次へをクリックします。

Active Directory から VMware Identity Manager ディレクトリに同期するグループを選択します。

オプション	説明
グループ DN を指定	グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。 + をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。重要: 入力したベース DN の配下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。グループの検索をクリックします。同期するグループ列には、DN に含まれるグループの数が表示されます。 DN に含まれるすべてのグループを選択する場合はすべてを選択をクリックします。グループを個別に選択する場合は選択をクリックし、同期対象となる特定のグループを選択します。注: グループを同期する際、Active Directory のプライマリグループである Domain Users に属していないユーザーの同期は行われません。
ネストされたグループメンバーを同期	ネストされたグループメンバーを同期オプションは、デフォルトで有効になっています。このオプションが有効になっているときは、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。VMware Identity Manager ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。ネストされたグループメンバーを同期オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory 構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。

オプション

説明

グループ DN を指定

グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。

+ をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。

重要:
入力したベース DN の配下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
グループの検索をクリックします。
同期するグループ列には、DN に含まれるグループの数が表示されます。
DN に含まれるすべてのグループを選択する場合はすべてを選択をクリックします。グループを個別に選択する場合は選択をクリックし、同期対象となる特定のグループを選択します。

注:

グループを同期する際、Active Directory のプライマリグループである Domain Users に属していないユーザーの同期は行われません。

ネストされたグループメンバーを同期

ネストされたグループメンバーを同期オプションは、デフォルトで有効になっています。このオプションが有効になっているときは、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。VMware Identity Manager ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。

ネストされたグループメンバーを同期オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory 構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。

次へをクリックします。
必要に応じて、同期するユーザーを追加で指定します。
1. + をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。
  
  重要:
  入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
2. （オプション）ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。
  
  フィルタリングの基準となるユーザー属性、クエリルールおよび値を選択します。
次へをクリックします。
ページを確認して、ディレクトリに同期するユーザーとグループの数や、同期スケジュールを確認します。

ユーザーとグループや、同期の頻度に変更を加えるには、編集リンクをクリックします。
ディレクトリを同期をクリックして、ディレクトリとの同期を開始します。

タスクの結果

Active Directory への接続が確立され、ユーザーとグループは Active Directory から VMware Identity Manager ディレクトリに同期されます。バインド DN ユーザーは、デフォルトで VMware Identity Manager の管理者ロールを持っています。

次のタスク

DNS サービスロケーションをサポートするディレクトリを作成した場合は、domain_krb.properties ファイルが作成され、ドメインコントローラのリストがこのファイルに自動的に入力されています。ファイルを表示して、ドメインコントローラのリストの確認や編集を行います。ドメインコントローラの選択（domain_krb.properties ファイル）を参照してください。
認証方法をセットアップします。コネクタを認証にも使用している場合、ユーザーとグループがディレクトリに同期された後で、追加のコネクタ認証をセットアップできます。サードパーティの認証 ID プロバイダを使用している場合は、コネクタでその ID プロバイダを構成します。
デフォルトのアクセスポリシーを確認します。デフォルトのアクセスポリシーでは、すべてのネットワーク範囲にあるすべてのアプライアンスに対し、Web ブラウザへのアクセスには 8 時間のセッションタイムアウト、クライアントアプリケーションへのアクセスには 2,160 時間（90日間）のセッションタイムアウトが設定されています。デフォルトのアクセスポリシーは変更できます。また、Web アプリケーションをカタログに追加するときに、新しいアクセスポリシーを作成することができます。
管理コンソール、ユーザーポータルページおよびログイン画面にカスタムブランディングを適用します。