管理コンソールで、Active Directory に接続するのに必要な情報を入力し、VMware Identity Manager ディレクトリと同期するユーザーおよびグループを選択します。

Active Directory では、LDAP 経由の Active Directory または Active Directory(統合 Windows 認証)の接続オプションを使用できます。LDAP 経由の Active Directory 接続では、DNS サービス ロケーション ルックアップがサポートされます。

前提条件

  • (SaaS) Connector がインストールされ、有効になっていること。
  • [ユーザー属性] ページで、必須の属性を選択し、その他の属性を追加します。ディレクトリと同期する属性の選択を参照してください。
  • Active Directory から同期する Active Directory のユーザーとグループのリスト。グループ名はただちにディレクトリと同期されます。グループのメンバーは、グループにリソースの使用資格が付与されるか、グループがポリシー ルールに追加されるまで同期しません。グループ資格が構成される前に認証を必要とするユーザーは、最初の構成中に追加する必要があります。
  • LDAP 経由の Active Directory の場合、ベース DN、バインド DN、およびバインド DN パスワードなどの情報が必要となります。
    注: : 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
  • Active Directory(統合 Windows 認証)では、ドメインのバインド ユーザー UPN アドレスとパスワードなどの情報が必要となります。
    注: : 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
  • Active Directory が SSL または STARTTLS 経由のアクセスを必要とする場合は、Active Directory ドメイン コントローラのルート CA 証明書が必要となります。
  • Active Directory(統合 Windows 認証)では、マルチフォレスト Active Directory を構成しており、ドメイン ローカル グループに異なるフォレストのドメインのメンバーが含まれる場合、バインド ユーザーをドメイン ローカル グループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメイン ローカル グループに含まれません。

手順

  1. 管理コンソールで、[ID とアクセス管理] タブをクリックします。
  2. [ディレクトリ] ページで、[ディレクトリの追加] をクリックします。
  3. この VMware Identity Manager ディレクトリの名前を入力します。
  4. 環境内の Active Directory のタイプを選択して、接続情報を構成します。
    オプション 説明
    LDAP 経由の Active Directory
    1. [コネクタの同期] テキスト ボックスで、Active Directory との同期に使用する コネクタ を選択します。

      オンプレミスの展開では、デフォルトで VMware Identity Manager サービスに常にコネクタ コンポーネントを使用できます。このコネクタは、ドロップダウン メニューに表示されます。高可用性を実現するために複数の VMware Identity Manager インスタンスを展開すると、それぞれのコネクタ コンポーネントがリストに表示されます。追加の外部コネクタもリストに表示されます。

    2. この Active Directory をユーザー認証に使用する場合は、[認証] テキスト ボックスで、[はい] をクリックします。

      ユーザー認証にサードパーティの ID プロバイダが使用されている場合、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

    3. [ディレクトリ検索属性] テキスト ボックスで、ユーザー名を含むアカウント属性を選択します。
    4. Active Directory が DNS サービス ロケーション ルックアップを使用する場合は、次のように選択します。
      • [サービス ロケーション] セクションで、[このディレクトリ は DNS サービス ロケーションをサポートします] チェック ボックスを選択します。

        ディレクトリの作成時に、ドメイン コントローラのリストが自動入力される domain_krb.properties ファイルが作成されます。ドメイン コントローラの選択(domain_krb.properties ファイル)を参照してください。

      • Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] テキスト ボックスに貼り付けます。

        証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

        注: : Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。
    5. Active Directory が DNS サービス ロケーション ルックアップを使用しない場合は、次のように選択します。
      • [サービス ロケーション] セクションで、[このディレクトリ は DNS サービス ロケーションをサポートします] チェック ボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。

        グローバル カタログとしてディレクトリを構成するには、Active Directory 環境の「マルチ ドメイン、シングル フォレストの Active Directory 環境」セクションを参照してください。

      • Active Directory が SSL 経由のアクセスを必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。

        証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

        注: : Active Directory が SSL を必要とする場合、証明書がなければディレクトリを作成できません。
    6. [ベース DN] フィールドに、アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。
    7. [バインド DN] フィールドに、ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。
      注: : 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
    8. バインド パスワードを入力したら、[接続をテスト] をクリックして、ディレクトリが Active Directory に接続できることを確認します。
    Active Directory(統合 Windows 認証)
    1. [コネクタの同期] テキスト ボックスで、Active Directory との同期に使用する コネクタ を選択します。
    2. この Active Directory をユーザー認証に使用する場合は、[認証] テキスト ボックスで、[はい] をクリックします。

      ユーザー認証にサードパーティの ID プロバイダが使用されている場合、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

    3. [ディレクトリ検索属性] テキスト ボックスで、ユーザー名を含むアカウント属性を選択します。
    4. Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには STARTTLS を使用するすべての接続が必要です] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] テキスト ボックスに貼り付けます。

      証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

      ディレクトリに複数のドメインが含まれる場合は、ルート CA 証明書をすべてのドメインに 1 つずつ追加していきます。

      注: : Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。
    5. (Linux のみ)参加する Active Directory ドメインの名前を入力します。ドメインへの参加権限を持つユーザーの名前とパスワードを入力します。詳細については、ドメインへの参加に必要な権限(Linux 仮想アプライアンスのみ)を参照してください。
    6. バインド ユーザー UPN のテキスト ボックスで、ドメインで認証できるユーザーのユーザー プリンシパル名を入力します。たとえば、[email protected] のように入力します。
      注: : 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
    7. バインド ユーザーのパスワードを入力します。
  5. [保存して次へ] をクリックします。
    ドメイン リストのページが表示されます。
  6. LDAP 経由の Active Directory では、ドメインにチェック マークが付けられて表示されます。
    [Active Directory(統合 Windows 認証)] で、この Active Directory 接続に関連付ける必要があるドメインを選択します。
    注: : ディレクトリが作成された後に信頼するドメインを追加する場合、サービスは新規に追加されたドメインを自動的に検出しません。サービスによるドメインの検出を有効にするには、 コネクタをドメインから切り離してから、ドメインに再度参加させる必要があります。 コネクタがドメインに再度参加すると、信頼するドメインがリストに表示されます。

    [次へ] をクリックします。

  7. VMware Identity Manager ディレクトリの属性名が正しい Active Directory 属性にマッピングされていることを確認し、必要に応じて変更して、[次へ] をクリックします。
  8. Active Directory から VMware Identity Manager ディレクトリに同期するグループを選択します。
    ここでグループを追加すると、グループ名がディレクトリと同期されます。グループのメンバーであるユーザーは、グループにアプリケーションの使用資格が付与されるか、グループ名がアクセス ポリシー ルールに追加されるまで、ディレクトリに同期されません。以降のスケジュール同期では、これらのグループ名に対する更新された情報が Active Directory から取得されます。
    オプション 説明
    グループ DN を指定 グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。
    1. [+] をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。
      重要: : 入力したベース DN の配下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
    2. [グループの検索] をクリックします。

      [同期するグループ] 列には、DN に含まれるグループの数が表示されます。

    3. DN に含まれるすべてのグループを選択する場合は [すべてを選択] をクリックします。グループを個別に選択する場合は [選択] をクリックし、同期対象となる特定のグループを選択します。
    注: : グループを同期する際、Active Directory のプライマリ グループである Domain Users に属していないユーザーの同期は行われません。
    ネストされたグループ メンバーを同期

    [ネストされたグループ メンバーを同期] オプションは、デフォルトで有効になっています。このオプションが有効になっていると、グループに資格が付与されるときに、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。VMware Identity Manager ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。

    [ネストされたグループ メンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory 構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。

  9. [次へ] をクリックします。
  10. 同期するユーザーを指定します。
    グループのメンバーは、グループにアプリケーションの使用資格が付与されるか、グループがアクセス ポリシー ルールに追加されるまでディレクトリに同期されないため、グループ資格が構成される前に認証を必要とするすべてのユーザーを追加します。
    1. [+] をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。
      重要: : 入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
    2. (オプション)ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。
      フィルタリングの基準となるユーザー属性、クエリ ルールおよび値を選択します。
  11. [次へ] をクリックします。
  12. ページを確認して、ディレクトリに同期するユーザーとグループの数や、同期スケジュールを確認します。

    ユーザーとグループや、同期の頻度に変更を加えるには、[編集] リンクをクリックします。

  13. [ディレクトリを同期] をクリックして、ディレクトリとの同期を開始します。

結果

Active Directory への接続が確立され、ユーザーとグループ名は Active Directory から VMware Identity Manager ディレクトリに同期されます。バインド DN ユーザーは、デフォルトで VMware Identity Managerの管理者ロールを持っています。

次のタスク

  • DNS サービス ロケーションをサポートするディレクトリを作成した場合は、domain_krb.properties ファイルが作成され、ドメイン コントローラのリストがこのファイルに自動的に入力されています。ファイルを表示して、ドメイン コントローラのリストの確認や編集を行います。ドメイン コントローラの選択(domain_krb.properties ファイル)を参照してください。
  • 認証方法をセットアップします。コネクタを認証にも使用している場合、ユーザーとグループ名がディレクトリに同期された後で、追加のコネクタ認証方法をセットアップできます。サードパーティの認証 ID プロバイダを使用している場合は、コネクタでその ID プロバイダを構成します。
  • デフォルトのアクセス ポリシーを確認します。デフォルトのアクセス ポリシーでは、すべてのネットワーク範囲にあるすべてのアプライアンスに対し、Web ポータルへのアクセスには 8 時間のセッション タイムアウト、クライアント アプリケーションへのアクセスには 2,160 時間(90日間)のセッション タイムアウトが設定されています。デフォルトのアクセス ポリシーは変更できます。また、Web アプリケーションをカタログに追加するときに、新しいアクセス ポリシーを作成することができます。
  • (オンプレミス)管理コンソール、ユーザー ポータル ページおよびログイン画面にカスタム ブランディングを適用します。