エンタープライズ LDAP ディレクトリと VMware Identity Managerを連携して、ユーザーとグループを LDAP ディレクトリから VMware Identity Manager サービスに同期することができます。
LDAP ディレクトリを統合するには、対応する VMware Identity Manager ディレクトリを作成し、ユーザーとグループを LDAP ディレクトリから VMware Identity Manager ディレクトリに同期します。後続の更新のために定期的な同期スケジュールを設定することができます。
また、ユーザーのために同期させる LDAP 属性を選択し、VMware Identity Manager属性にマップします。
LDAP ディレクトリは、デフォルト スキーマまたはカスタム スキーマに基づいて構成することがあります。また、カスタム属性を使用することもあります。VMware Identity Managerで、LDAP ディレクトリを検索してユーザーまたはグループ オブジェクトを取得できるようにするには、LDAP ディレクトリに適用可能な LDAP 検索フィルタおよび属性名を指定する必要があります。
具体的には、次の情報を指定する必要があります。
LDAP ディレクトリの統合機能には特定の制限が適用されます。LDAP ディレクトリ統合の制限を参照してください。
前提条件
ページの属性を確認し、同期する属性を追加します。ディレクトリを作成するときは、VMware Identity Manager 属性を LDAP ディレクトリ属性にマップします。これらの属性はディレクトリ内のユーザーに対して同期されます。
注:
ユーザー属性を変更する場合は、サービスの他のディレクトリに対する影響を考慮してください。Active Directory と LDAP ディレクトリの両方を追加する計画の場合は、必須のマークを付けることができる [userName] を除いて、属性には必須のマークが付いていないことを確認してください。[ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されます。属性に必須のマークが付いている場合は、その属性を持たないユーザーは VMware Identity Managerサービスに同期されません。
バインド DN ユーザー アカウント。有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
LDAP ディレクトリでは、ユーザーとグループの UUID はプレーン テキスト形式である必要があります。
LDAP ディレクトリには、すべてのユーザーおよびグループに対するドメイン属性が存在する必要があります。
VMware Identity Managerディレクトリを作成するときは、この属性を VMware Identity Manager の [domain] 属性にマップします。
ユーザー名にスペースを含めることはできません。ユーザー名にスペースが含まれていると、ユーザーは同期されますが、資格を利用できません。
証明書認証を使用する場合、ユーザーは userPrincipalName とメール アドレス属性の値を持っている必要があります。
手順
- VMware Identity Manager コンソールで、[ID とアクセス管理] タブをクリックします。
- [ディレクトリ] ページで、[ディレクトリを追加] をクリックして [LDAP ディレクトリを追加] を選択します。
- [LDAP ディレクトリを追加] ページに必要な情報を入力します。
オプション |
説明 |
ディレクトリ名 |
VMware Identity Managerディレクトリの名前。 |
ディレクトリの同期と認証 |
[コネクタを同期] テキスト ボックスで、LDAP ディレクトリから VMware Identity Manager ディレクトリにユーザーとグループを同期するためのコネクタを選択します。 オンプレミスの展開では、デフォルトで VMware Identity Manager サービスに常にコネクタ コンポーネントを使用できます。このコネクタは、ドロップダウン リストに表示されます。高可用性を実現するために複数の VMware Identity Manager インスタンスを展開すると、それぞれのコネクタ コンポーネントがリストに表示されます。追加の外部コネクタもリストに表示されます。 LDAP ディレクトリ用の個別のコネクタを使用する必要はありません。コネクタは、Active Directory であるか LDAP ディレクトリであるかにかかわらず複数のディレクトリをサポートすることができます。追加のコネクタが必要な場合は、「VMware Identity Manager のインストールと構成」を参照してください。
この LDAP ディレクトリを使用してユーザー認証を行う場合は、[認証] テキスト ボックスで [はい] を選択します。 サードパーティの ID プロバイダを使用してユーザーを認証する場合は、[いいえ] を選択します。ユーザーとグループを同期するようにディレクトリ接続を追加したら、 ページの順に移動して、認証に使用するサードパーティの ID プロバイダを追加します。
[ディレクトリ検索属性] テキスト ボックスで、ユーザー名に使用する LDAP ディレクトリ属性を指定します。属性が表示されない場合は、[カスタム] を選択して、属性名を入力します。たとえば、cn にように入力します。
|
サーバの場所 |
LDAP ディレクトリ サーバのホスト名とポート番号を入力します。サーバ ホストには、完全修飾ドメイン名または IP アドレスのいずれかを指定することができます。たとえば、myLDAPserver.example.com または 100.00.00.0 のように入力します。 ロード バランサの背後にサーバのクラスタがある場合は、代わりにロード バランサの情報を入力します。 |
LDAP 構成 |
VMware Identity Managerが LDAP ディレクトリのクエリに使用することができる LDAP 検索フィルタおよび属性を指定します。デフォルト値はコア LDAP スキーマに基づいて提供されます。 [LDAP クエリ]
[グループの取得]:グループ オブジェクトを取得するための検索フィルタ。 例:(objectClass=group)
[バインド ユーザーの取得]:バインド ユーザー オブジェクト、つまりディレクトリにバインドすることができるユーザーを取得するための検索フィルタ。 例:(objectClass=person)
[ユーザーの取得]:同期するユーザーを取得するための検索フィルタ。 例:(&(objectClass=user)(objectCategory=person))
[属性]
[メンバーシップ]:グループのメンバーを定義するために LDAP ディレクトリで使用される属性。 例:member
[オブジェクト UUID]:ユーザーまたはグループの UUID を定義するために LDAP ディレクトリで使用される属性。 例:entryUUID
[識別名]:LDAP ディレクトリでユーザーまたはグループの識別名に使用される属性。 例:entryDN
|
証明書 |
LDAP ディレクトリが SSL 経由のアクセスを必要とする場合は、[このディレクトリには SSL を使用するすべての接続が必要です] を選択し、LDAP ディレクトリ サーバのルート CA SSL 証明書をコピーして貼り付けます。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。 |
バインド ユーザーの詳細 |
[ベース DN]:検索を開始する DN を入力します。たとえば、cn=users,dc=example,dc=com のように入力します。 [バインド DN]:LDAP ディレクトリにバインドするために使用するユーザー名を入力します。
注:
有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
[バインド DN パスワード]:バインド DN ユーザーのパスワードを入力します。 |
- LDAP ディレクトリ サーバへの接続をテストするには、[接続をテスト] をクリックします。
接続に成功しない場合は、入力した情報を確認して、適切な変更を行います。
- [保存して次へ] をクリックします。
- [ドメイン] ページで、正しいドメインがリストされることを確認し、[次へ] をクリックします。
- [属性をマップ] ページで、VMware Identity Manager属性が正しい LDAP 属性にマップされていることを確認します。
これらの属性がユーザーに対して同期されます。
重要:
[domain] 属性のマッピングを指定する必要があります
属性は [ユーザー属性] ページからリストに追加することができます。
- [次へ] をクリックします。
- グループのページで、[+] をクリックして、LDAP ディレクトリから VMware Identity Manager ディレクトリに同期するグループを選択します。
グループを追加すると、グループ名がディレクトリと同期されます。グループのメンバーであるユーザーは、グループにアプリケーションの使用資格が付与されるか、グループ名がアクセス ポリシー ルールに追加されるまで、ディレクトリに同期されません。
LDAP ディレクトリに同じ名前のグループが複数ある場合は、グループ ページ内でグループに一意の名前を指定する必要があります。
[ネストされたグループ ユーザーの同期] オプションは、デフォルトで有効になっています。このオプションが有効になっているときは、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。グループに資格が付与されるときに、ネストされたグループに属するユーザーのみが同期されます。VMware Identity Managerディレクトリでは、これらのユーザーは同期対象として選択したトップレベルのグループのメンバーとして表示されます。実際には、選択されたグループの階層がフラット化され、すべてのレベルのユーザーが選択されたグループのメンバーとして VMware Identity Manager に表示されます。
このオプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模なディレクトリ構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。
- [次へ] をクリックします。
- [+] をクリックして、ユーザーを追加します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com と入力します。
グループのメンバーは、グループにアプリケーションの使用資格が付与されるか、グループがアクセス ポリシー ルールに追加されるまでディレクトリに同期されないため、グループ資格が構成される前に認証を必要とするすべてのユーザーを追加します。
ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。フィルタリングの基準となるユーザー属性、クエリ ルールおよび値を選択します。
[次へ] をクリックします。
- ディレクトリに同期するユーザーとグループ名の数や、デフォルトの同期スケジュールをページで確認します。
ユーザーとグループや、同期の頻度に変更を加えるには、[編集] リンクをクリックします。
- [ディレクトリを同期] をクリックして、ディレクトリ同期を開始します。
タスクの結果
LDAP ディレクトリへの接続が確立され、ユーザーとグループ名は LDAP ディレクトリからVMware Identity Managerディレクトリに同期されます。バインド DN ユーザーは、デフォルトで VMware Identity Managerの管理者ロールを持っています。