エンタープライズ ディレクトリを VMware Identity Managerと統合し、ユーザーとグループをエンタープライズ ディレクトリから VMware Identity Manager サービスに同期します。
以下のディレクトリのタイプがサポートされます。
LDAP 経由の Active Directory
Active Directory、統合 Windows 認証
LDAP ディレクトリ。
前提条件
要件および制限事項については、「VMware Identity Manager とのディレクトリ統合」を参照してください。
Active Directory または LDAP ディレクトリの情報。
マルチフォレスト Active Directory が構成され、ドメイン ローカル グループに異なるフォレストのドメインのメンバが含まれる場合、VMware Identity Managerディレクトリ ページで使用されるバインド DN ユーザーをドメイン ローカル グループが存在するドメインの管理者グループに追加する必要があります。これを行わなければ、これらのメンバーはドメイン ローカル グループに含まれません。
注:マルチフォレスト Active Directory を使用するには、VMware Identity Managerサービスを Windows ドメイン ユーザーとして実行するように構成する必要があります。
フィルタとして使用するユーザー属性のリスト、および VMware Identity Managerに追加するグループのリスト。
手順
- 設定したパスワードを使用して、[管理者] ユーザーとして VMware Identity Manager コンソールにログインします。
ローカル管理者としてログインされます。[ディレクトリ] ページが表示されます。ディレクトリを追加する前に、要件および制限事項について「VMware Identity Manager とのディレクトリ統合」を確実に参照してください。
- [ID とアクセス管理] タブをクリックします。
- [セットアップ] > [ユーザー属性] をクリックして、ディレクトリと同期するユーザー属性を選択します。
デフォルト属性が表示され、必須の属性を選択できます。属性に必須のマークが付いている場合は、その属性を持つユーザーのみがサービスに同期されます。別の属性を追加することもできます。
重要:ディレクトリの作成後は、必須属性にする属性を変更できません。その選択は、この時点で行う必要があります。
[ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されることに注意してください。属性に必須のマークを付ける場合は、他のディレクトリへの影響を考慮してください。属性に必須のマークが付いている場合は、その属性を持たないユーザーはサービスに同期されません。
重要:XenApp リソースと VMware Identity Manager の同期を計画している場合は、[distinguishedName] を必須属性にする必要があります。
- [保存] をクリックします。
- [ID とアクセス管理] タブをクリックします。
- [ディレクトリ] ページで、[ディレクトリを追加] をクリックし、統合するディレクトリのタイプに基づいて [LDAP/IWA 経由の Active Directory を追加] または [LDAP ディレクトリを追加] を選択します。
また、サービスでローカル ディレクトリを作成することもできます。ローカル ディレクトリの使用方法については、『VMware Identity Manager 管理ガイド』を参照してください。
- Active Directory の場合は、次の手順を実行します。
- VMware Identity Managerで作成するディレクトリの名前を入力し、ディレクトリのタイプ([LDAP 経由の Active Directory] または [Active Directory(統合 Windows 認証)] のいずれか)を選択します。
- 接続情報を入力します。
オプション
説明
LDAP 経由の Active Directory
[コネクタを同期] テキスト ボックスで、Active Directory から VMware Identity Manager ディレクトリにユーザーとグループを同期するための コネクタ を選択します。
コネクタ コンポーネントは、デフォルトではVMware Identity Managerサービスで常に利用できます。このコネクタは、ドロップダウン メニューに表示されます。高可用性を実現するために複数の VMware Identity Managerアプライアンスを展開すると、それぞれのコネクタ コンポーネントがリストに表示されます。
この Active Directory を使用してユーザー認証を行う場合は、[認証] テキスト ボックスで [はい] をクリックします。
サードパーティの ID プロバイダを使用してユーザーを認証する場合は、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] ページの順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。
[ディレクトリ検索属性] テキスト ボックスで、ユーザー名を含むアカウント属性を選択します。
Active Directory が DNS サービス ロケーション ルックアップを使用する場合は、次のように選択します。
[サービス ロケーション] セクションで、[このディレクトリ は DNS サービス ロケーションをサポートします] チェック ボックスを選択します。
Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] テキスト ボックスに貼り付けます。
証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。
注:Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。
Active Directory が DNS サービス ロケーション ルックアップを使用しない場合は、次のように選択します。
[サービス ロケーション] セクションで、[このディレクトリ は DNS サービス ロケーションをサポートします] チェック ボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。
グローバル カタログとしてディレクトリを構成するには、「VMware Identity Manager とのディレクトリ統合」の「Active Directory 環境」にある「マルチ ドメイン、シングル フォレストの Active Directory 環境」セクションを参照してください。
Active Directory が SSL 経由のアクセスを必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] テキスト ボックスに貼り付けます。
証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。
注:Active Directory が SSL を必要とする場合、証明書がなければディレクトリを作成できません。
[パスワードの変更を許可] セクションで、パスワードの有効期限が切れたとき、または Active Directory 管理者がユーザーのパスワードをリセットしたときにユーザーが VMware Identity Manager ログイン ページからパスワードをリセットできるようにするには、[パスワードの変更を有効にする] を選択します。
[ベース DN] テキスト ボックスに、アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。
[バインド DN] テキスト ボックスに、ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。
注:有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
バインド パスワードを入力したら、[接続をテスト] をクリックして、ディレクトリが Active Directory に接続できることを確認します。
Active Directory(統合 Windows 認証)
[コネクタを同期] テキスト ボックスで、Active Directory から VMware Identity Manager ディレクトリにユーザーとグループを同期するための コネクタ を選択します。
コネクタ コンポーネントは、デフォルトではVMware Identity Managerサービスで常に利用できます。このコネクタは、ドロップダウン リストに表示されます。高可用性を実現するために複数の VMware Identity Managerアプライアンスを展開すると、それぞれのコネクタ コンポーネントがリストに表示されます。
この Active Directory を使用してユーザー認証を行う場合は、[認証] テキスト ボックスで [はい] をクリックします。
サードパーティの ID プロバイダを使用してユーザーを認証する場合は、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] ページの順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。
[ディレクトリ検索属性] テキスト ボックスで、ユーザー名を含むアカウント属性を選択します。
Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには STARTTLS を使用するすべての接続が必要です] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] テキスト ボックスに貼り付けます。
証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。
ディレクトリに複数のドメインが含まれる場合は、ルート CA 証明書をすべてのドメインに 1 つずつ追加していきます。
注:Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。
[パスワードの変更を許可] セクションで、パスワードの有効期限が切れたとき、または Active Directory 管理者がユーザーのパスワードをリセットしたときにユーザーが VMware Identity Manager ログイン ページからパスワードをリセットできるようにするには、[パスワードの変更を有効にする] を選択します。
[バインド ユーザー UPN] フィールドで、ドメインで認証できるユーザーの [ユーザー プリンシパル名] を入力します。たとえば、[email protected] のように入力します。
注:有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
バインド DN ユーザーのパスワードを入力します。
- [保存して次へ] をクリックします。
ドメイン リストのページが表示されます。
- LDAP ディレクトリの場合は、次の手順を実行します。
- 接続情報を入力します。
オプション
説明
ディレクトリ名
VMware Identity Managerに作成しているディレクトリの名前。
ディレクトリの同期と認証
[コネクタを同期] テキスト ボックスで、LDAP ディレクトリから VMware Identity Manager ディレクトリにユーザーとグループを同期するためのコネクタを選択します。
コネクタ コンポーネントは、デフォルトではVMware Identity Managerサービスで常に利用できます。このコネクタは、ドロップダウン リストに表示されます。高可用性を実現するために複数の VMware Identity Managerアプライアンスを展開すると、それぞれのコネクタ コンポーネントがリストに表示されます。
LDAP ディレクトリ用の個別のコネクタは必要ありません。コネクタは、Active Directory であるか LDAP ディレクトリであるかにかかわらず複数のディレクトリをサポートすることができます。
この LDAP ディレクトリを使用してユーザー認証を行う場合は、[認証] テキスト ボックスで [はい] をクリックします。
サードパーティの ID プロバイダを使用してユーザーを認証する場合は、[いいえ] を選択します。ユーザーとグループを同期するようにディレクトリ接続を追加したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] ページの順に移動して、認証に使用するサードパーティの ID プロバイダを追加します。
[ディレクトリ検索属性] テキスト ボックスで、ユーザー名に使用する LDAP ディレクトリ属性を指定します。属性が表示されない場合は、[カスタム] を選択して、属性名を入力します。たとえば、cn にように入力します。
サーバの場所
LDAP ディレクトリ サーバのホスト名とポート番号を入力します。サーバ ホストには、完全修飾ドメイン名または IP アドレスのいずれかを指定することができます。たとえば、myLDAPserver.example.com または 100.00.00.0 のように入力します。
ロード バランサの背後にサーバのクラスタがある場合は、代わりにロード バランサの情報を入力します。
LDAP 構成
VMware Identity Managerが LDAP ディレクトリのクエリに使用することができる LDAP 検索フィルタおよび属性を指定します。デフォルト値はコア LDAP スキーマに基づいて提供されます。
[LDAP クエリ]
[グループの取得]:グループ オブジェクトを取得するための検索フィルタ。
例:(objectClass=group)
[バインド ユーザーの取得]:バインド ユーザー オブジェクト、つまりディレクトリにバインドすることができるユーザーを取得するための検索フィルタ。
例:(objectClass=person)
[ユーザーの取得]:同期するユーザーを取得するための検索フィルタ。
例:(&(objectClass=user)(objectCategory=person))
[属性]
[メンバーシップ]:グループのメンバーを定義するために LDAP ディレクトリで使用される属性。
例:member
[オブジェクト UUID]:ユーザーまたはグループの UUID を定義するために LDAP ディレクトリで使用される属性。
例:entryUUID
[識別名]:LDAP ディレクトリでユーザーまたはグループの識別名に使用される属性。
例:entryDN
証明書
LDAP ディレクトリが SSL 経由のアクセスを必要とする場合は、[このディレクトリには SSL を使用するすべての接続が必要です] を選択し、LDAP ディレクトリ サーバのルート CA SSL 証明書をコピーして貼り付けます。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。
バインド ユーザーの詳細
[ベース DN]:検索を開始する DN を入力します。たとえば、cn=users,dc=example,dc=com のように入力します。
[バインド DN]:LDAP ディレクトリにバインドするために使用するユーザー名を入力します。
注:有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
[バインド DN パスワード]:バインド DN ユーザーのパスワードを入力します。
- LDAP ディレクトリ サーバへの接続をテストするには、[接続をテスト] をクリックします。
接続に成功しない場合は、入力した情報を確認して、適切な変更を行います。
- [保存して次へ] をクリックします。
ドメインをリストしたページが表示されます。
- 接続情報を入力します。
- LDAP ディレクトリの場合、ドメインはリストされるが変更することはできません。
LDAP 経由の Active Directory の場合、ドメインはリストされるが変更することはできません。
[Active Directory(統合 Windows 認証)] で、この Active Directory 接続に関連付ける必要があるドメインを選択します。
注:ディレクトリが作成された後に信頼するドメインを追加する場合、サービスは新規に追加されたドメインを自動的に検出しません。サービスによるドメインの検出を有効にするには、コネクタをドメインから切り離してから、ドメインに再度参加させる必要があります。コネクタがドメインに再度参加すると、信頼するドメインがリストに表示されます。
[次へ] をクリックします。
- VMware Identity Manager属性名が適切な Active Directory または LDAP 属性にマッピングされていることを確認し、必要に応じて変更します。
重要:
LDAP ディレクトリを統合している場合は、[domain] 属性のマッピングを指定する必要があります。
- [次へ] をクリックします。
- Active Directory または LDAP ディレクトリから VMware Identity Managerディレクトリに同期するグループを選択します。
オプション
説明
グループ DN を指定
グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。
[+] をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。
重要:入力したベース DN の配下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合は、その DN のユーザーは、同期されますがログインすることはできません。
[グループの検索] をクリックします。
[同期するグループ] 列には、DN に含まれるグループの数が表示されます。
DN に含まれるすべてのグループを選択する場合は [すべてを選択] をクリックします。グループを個別に選択する場合は [選択] をクリックし、同期対象となる特定のグループを選択します。
注:LDAP ディレクトリに同じ名前のグループが複数ある場合は、VMware Identity Managerでグループに一意の名前を指定する必要があります。名前は、グループを選択しているときに変更できます。
注:グループを同期する際、Active Directory のプライマリ グループである Domain Users に属していないユーザーの同期は行われません。
ネストされたグループ メンバーを同期
[ネストされたグループ メンバーを同期] オプションは、デフォルトで有効になっています。このオプションが有効になっているときは、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。VMware Identity Managerディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。
[ネストされたグループ メンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory 構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。
- [次へ] をクリックします。
- 必要に応じて、同期するユーザーを追加で指定します。
- [+] をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。
重要:
入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合は、その DN のユーザーは、同期されますがログインすることはできません。
- (オプション)ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。
フィルタリングの基準となるユーザー属性、クエリ ルールおよび値を選択します。
- [+] をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。
- [次へ] をクリックします。
- ディレクトリに同期するユーザーとグループの数や、同期のスケジュールを確認します。
ユーザーとグループや、同期の頻度に変更を加えるには、[編集] リンクをクリックします。
- [ディレクトリを同期] をクリックして、ディレクトリ同期を開始します。
タスクの結果
ネットワーク エラーが発生し、逆引き DNS を使用してホスト名を一意に解決できない場合は、構成プロセスが停止します。ネットワークの問題を解決して仮想アプライアンスを再起動する必要があります。その後、展開プロセスを続行できます。新しいネットワーク設定は、仮想アプライアンスを再起動しないと使用できません。
次のタスク
ロード バランサや高可用性構成のセットアップの詳細については、ロード バランサの背後への VMware Identity Manager マシンの展開を参照してください。
組織のアプリケーションに合わせてリソースのカタログをカスタマイズし、それらのリソースへのユーザー アクセスを有効にすることができます。また、View、ThinApp、Citrix ベースのアプリケーションを含む他のリソースもセットアップできます。『VMware Identity Manager でのリソースのセットアップ』を参照してください。