サービスへの Active Directory 接続の構成

VMware Identity Manager コンソールで、Active Directory に接続するために必要な情報を入力し、VMware Identity Manager ディレクトリと同期するユーザーおよびグループを選択します。

Active Directory では、LDAP 経由の Active Directory または統合 Windows 認証を使用する Active Directory の接続オプションを使用できます。LDAP 経由の Active Directory 接続では、DNS サービスロケーションルックアップがサポートされます。

前提条件

(SaaS) Connector がインストールされ、有効になっていること。
[ユーザー属性] ページで、必須の属性を選択し、その他の属性を追加します。ディレクトリと同期する属性の選択を参照してください。
Active Directory から同期する Active Directory のユーザーとグループのリストを作成します。グループ名はただちにディレクトリと同期されます。グループのメンバーは、グループにリソースの使用資格が付与されるか、グループがポリシールールに追加されるまで同期しません。グループ資格が構成される前に認証を必要とするユーザーは、最初の構成中に追加する必要があります。
LDAP 経由の Active Directory の場合、ベース DN、バインド DN、およびバインド DN パスワードが必要となります。
バインド DN ユーザーがユーザーおよびグループオブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。
- 読み取り
- すべてのプロパティの読み取り
- アクセス許可の読み取り
注：
有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。
統合 Windows 認証を使用する Active Directory の場合、必要なドメインのユーザーとグループをクエリする権限を持つバインドユーザーのユーザー名とパスワードが必要です。
バインドユーザーがユーザーおよびグループオブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。
- 読み取り
- すべてのプロパティの読み取り
- アクセス許可の読み取り
注：
有効期限のないパスワードを持つバインドユーザーアカウントを使用することを推奨します。
Active Directory が SSL または STARTTLS を介したアクセスを必要とする場合、関連するすべての Active Directory ドメインに対するドメインコントローラのルート CA 証明書が必要です。
統合 Windows 認証を使用する Active Directory では、マルチフォレスト Active Directory が構成されていて、さらにドメインローカルグループに異なるフォレストのドメインのメンバーが含まれる場合、バインドユーザーをドメインローカルグループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメインローカルグループに含まれません。
統合 Windows 認証を使用する Active Directory の場合：
- SRV レコードのリストに含まれるすべてのドメインコントローラおよび非表示の RODC について、ホスト名と IP アドレスの nslookup が動作する必要があります。
- ネットワーク接続で、すべてのドメインコントローラにアクセスできる必要があります。

手順

VMware Identity Manager コンソールで、[ID とアクセス管理] タブをクリックします。
[ディレクトリ] ページで、[ディレクトリの追加] をクリックします。
この VMware Identity Manager ディレクトリの名前を入力します。

環境内の Active Directory のタイプを選択して、接続情報を構成します。

オプション	説明
LDAP 経由の Active Directory	[コネクタの同期] テキストボックスで、Active Directory との同期に使用するコネクタを選択します。この Active Directory をユーザー認証に使用する場合は、[認証] テキストボックスで、[はい] をクリックします。ユーザー認証にサードパーティの ID プロバイダが使用されている場合、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。 [ディレクトリ検索属性] テキストボックスで、ユーザー名を含むアカウント属性を選択します。 Active Directory で DNS サービスロケーションルックアップを使用する場合は、次の項目を選択します。 [サービスロケーション] セクションで、[このディレクトリは DNS サービスロケーションをサポートします] チェックボックスを選択します。 VMware Identity Manager が、最適なドメインコントローラを検索して使用します。最適化されたドメインコントローラの選択を使用しない場合は、代わりに e. の手順を実行します。 Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] テキストボックスに貼り付けます。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。注： Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。 Active Directory の DNS サービスロケーションルックアップを使用しない場合は、次の項目を選択します。 [サービスロケーション] セクションで、[このディレクトリは DNS サービスロケーションをサポートします] チェックボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。グローバルカタログとしてディレクトリを構成するには、Active Directory 環境の「マルチドメイン、シングルフォレストの Active Directory 環境」セクションを参照してください。 Active Directory が SSL 経由のアクセスを必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。ディレクトリに複数のドメインがある場合は、すべてのドメインのルート CA 証明書を順番に追加します。注： Active Directory が SSL を必要とする場合、証明書がなければディレクトリを作成できません。 [ベース DN] フィールドに、アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。 [バインド DN] フィールドに、ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。注：有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。バインドパスワードを入力したら、[接続をテスト] をクリックして、ディレクトリが Active Directory に接続できることを確認します。
Active Directory（統合 Windows 認証）	[コネクタの同期] テキストボックスで、Active Directory との同期に使用するコネクタを選択します。この Active Directory をユーザー認証に使用する場合は、[認証] テキストボックスで、[はい] をクリックします。ユーザー認証にサードパーティの ID プロバイダが使用されている場合、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。 [ディレクトリ検索属性] テキストボックスで、ユーザー名を含むアカウント属性を選択します。 Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには STARTTLS を使用するすべての接続が必要です] チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] テキストボックスに貼り付けます。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。ディレクトリに複数のドメインがある場合は、すべてのドメインのルート CA 証明書を順番に追加します。注： Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。（Linux のみ）参加する Active Directory ドメインの名前を入力します。ドメインへの参加権限を持つユーザーの名前とパスワードを入力します。詳細については、ドメインへの参加に必要な権限（Linux 仮想アプライアンスのみ）を参照してください。 [バインドユーザーの詳細] セクションに、必要なドメインのユーザーとグループをクエリする権限を持つバインドユーザーのユーザー名とパスワードを入力します。ユーザー名には、sAMAccountName（たとえば jdoe）を入力します。バインドユーザーのドメインが上記で入力した [ドメインに参加] のドメインと異なる場合は、sAMAccountName@domain の形式でユーザー名を入力します。domain は完全修飾ドメイン名です。たとえば、[email protected] のように入力します。注：有効期限のないパスワードを持つバインドユーザーアカウントを使用することを推奨します。

オプション

説明

LDAP 経由の Active Directory

[コネクタの同期] テキストボックスで、Active Directory との同期に使用するコネクタを選択します。
この Active Directory をユーザー認証に使用する場合は、[認証] テキストボックスで、[はい] をクリックします。
ユーザー認証にサードパーティの ID プロバイダが使用されている場合、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。
[ディレクトリ検索属性] テキストボックスで、ユーザー名を含むアカウント属性を選択します。
Active Directory で DNS サービスロケーションルックアップを使用する場合は、次の項目を選択します。
- [サービスロケーション] セクションで、[このディレクトリは DNS サービスロケーションをサポートします] チェックボックスを選択します。
  VMware Identity Manager が、最適なドメインコントローラを検索して使用します。最適化されたドメインコントローラの選択を使用しない場合は、代わりに e. の手順を実行します。
- Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] テキストボックスに貼り付けます。
  証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。
  
  注：
  Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。
Active Directory の DNS サービスロケーションルックアップを使用しない場合は、次の項目を選択します。
- [サービスロケーション] セクションで、[このディレクトリは DNS サービスロケーションをサポートします] チェックボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。
  グローバルカタログとしてディレクトリを構成するには、Active Directory 環境の「マルチドメイン、シングルフォレストの Active Directory 環境」セクションを参照してください。
- Active Directory が SSL 経由のアクセスを必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。
  証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。
  ディレクトリに複数のドメインがある場合は、すべてのドメインのルート CA 証明書を順番に追加します。
  
  注：
  Active Directory が SSL を必要とする場合、証明書がなければディレクトリを作成できません。
[ベース DN] フィールドに、アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。
[バインド DN] フィールドに、ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。

注：
有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。
バインドパスワードを入力したら、[接続をテスト] をクリックして、ディレクトリが Active Directory に接続できることを確認します。

Active Directory（統合 Windows 認証）

[コネクタの同期] テキストボックスで、Active Directory との同期に使用するコネクタを選択します。
この Active Directory をユーザー認証に使用する場合は、[認証] テキストボックスで、[はい] をクリックします。
ユーザー認証にサードパーティの ID プロバイダが使用されている場合、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。
[ディレクトリ検索属性] テキストボックスで、ユーザー名を含むアカウント属性を選択します。
Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには STARTTLS を使用するすべての接続が必要です] チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] テキストボックスに貼り付けます。
証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。
ディレクトリに複数のドメインがある場合は、すべてのドメインのルート CA 証明書を順番に追加します。

注：
Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。
（Linux のみ）参加する Active Directory ドメインの名前を入力します。ドメインへの参加権限を持つユーザーの名前とパスワードを入力します。詳細については、ドメインへの参加に必要な権限（Linux 仮想アプライアンスのみ）を参照してください。
[バインドユーザーの詳細] セクションに、必要なドメインのユーザーとグループをクエリする権限を持つバインドユーザーのユーザー名とパスワードを入力します。ユーザー名には、sAMAccountName（たとえば jdoe）を入力します。バインドユーザーのドメインが上記で入力した [ドメインに参加] のドメインと異なる場合は、sAMAccountName@domain の形式でユーザー名を入力します。domain は完全修飾ドメイン名です。たとえば、[email protected] のように入力します。

注：
有効期限のないパスワードを持つバインドユーザーアカウントを使用することを推奨します。

[保存して次へ] をクリックします。

ドメインリストのページが表示されます。
LDAP 経由の Active Directory では、ドメインにチェックマークが付けられて表示されます。

[Active Directory（統合 Windows 認証）] で、この Active Directory 接続に関連付ける必要があるドメインを選択します。

注：
ディレクトリが作成された後に信頼するドメインを追加する場合、サービスは新規に追加されたドメインを自動的に検出しません。サービスによるドメインの検出を有効にするには、コネクタをドメインから切り離してから、ドメインに再度参加させる必要があります。コネクタがドメインに再度参加すると、信頼するドメインがリストに表示されます。

[次へ] をクリックします。
VMware Identity Manager ディレクトリの属性名が正しい Active Directory 属性にマッピングされていることを確認し、必要に応じて変更して、[次へ] をクリックします。

Active Directory から VMware Identity Manager ディレクトリに同期するグループを選択します。

ここでグループを追加すると、グループ名がディレクトリと同期されます。グループのメンバーであるユーザーは、グループにアプリケーションの使用資格が付与されるか、グループ名がアクセスポリシールールに追加されるまで、ディレクトリに同期されません。以降のスケジュール同期では、これらのグループ名に対する更新された情報が Active Directory から取得されます。

オプション	説明
グループ DN を指定	グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。 [+] をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。重要：入力したベース DN の配下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。 [グループの検索] をクリックします。 [同期するグループ] 列には、DN に含まれるグループの数が表示されます。 DN に含まれるすべてのグループを選択する場合は [すべてを選択] をクリックします。グループを個別に選択する場合は [選択] をクリックし、同期対象となる特定のグループを選択します。注：グループを同期する際、Active Directory のプライマリグループである Domain Users に属していないユーザーの同期は行われません。
ネストされたグループメンバーを同期	[ネストされたグループメンバーを同期] オプションは、デフォルトで有効になっています。このオプションが有効になっていると、グループに資格が付与されるときに、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。VMware Identity Manager ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。 [ネストされたグループメンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory 構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。

オプション

説明

グループ DN を指定

グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。

[+] をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。

重要：
入力したベース DN の配下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
[グループの検索] をクリックします。
[同期するグループ] 列には、DN に含まれるグループの数が表示されます。
DN に含まれるすべてのグループを選択する場合は [すべてを選択] をクリックします。グループを個別に選択する場合は [選択] をクリックし、同期対象となる特定のグループを選択します。

注：

グループを同期する際、Active Directory のプライマリグループである Domain Users に属していないユーザーの同期は行われません。

ネストされたグループメンバーを同期

[ネストされたグループメンバーを同期] オプションは、デフォルトで有効になっています。このオプションが有効になっていると、グループに資格が付与されるときに、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。VMware Identity Manager ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。

[ネストされたグループメンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory 構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。

[次へ] をクリックします。
同期するユーザーを指定します。

グループのメンバーは、グループにアプリケーションの使用資格が付与されるか、グループがアクセスポリシールールに追加されるまでディレクトリに同期されないため、グループ資格が構成される前に認証を必要とするすべてのユーザーを追加します。
1. [+] をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。
  
  重要：
  入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
2. （オプション）ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。
  
  フィルタリングの基準となるユーザー属性、使用するクエリルールを選択し、値を追加します。値は大文字と小文字を区別しません。[*^()?!$] の文字は文字列には使用できません。

同期するユーザーを指定します。

グループのメンバーは、グループにアプリケーションの使用資格が付与されるか、グループがアクセスポリシールールに追加されるまでディレクトリに同期されないため、グループ資格が構成される前に認証を必要とするすべてのユーザーを追加します。

[+] をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。

重要：
入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。

（オプション）ユーザーを除外するには、選択した属性に基づいてユーザーを除外するフィルタを作成します。複数の除外フィルタを作成することができます。

フィルタリングの基準となるユーザー属性と、定義した値に適用するクエリフィルタを選択します。

オプション	説明
次を含む	設定した属性と値に一致するすべてのユーザーを除外します。たとえば、[name 次を含む Jane] は「Jane」という名前のユーザーを除外します。
次を含まない	設定した属性と値に一致するユーザー以外のすべてのユーザーを除外します。たとえば、[telephoneNumber 次を含まない 800] は電話番号に「800」が含まれるユーザーのみを含めます。
次で始まる	属性値で文字が <xxx> で始まるすべてのユーザーを除外します。たとえば、[employeeID 次で始まる ACME0] は、ID 番号の先頭に「ACME0」を含む従業員 ID を持つすべてのユーザーを除外します。
次で終わる	属性値で文字が <yyy> で終わるすべてのユーザーを除外します。たとえば、[mail 次で終わる example1.com] は、メールアドレスが「example1.com」で終わるすべてのユーザーを除外します。

値は大文字と小文字を区別しません。値の文字列には次の記号は使用できません。

アスタリスク *
カレット ^
括弧 ( )
疑問符 ?
感嘆符 !
ドル記号 $

[次へ] をクリックします。
ページを確認して、ディレクトリに同期するユーザーとグループの数や、同期スケジュールを確認します。

ユーザーとグループや、同期の頻度に変更を加えるには、[編集] リンクをクリックします。
[ディレクトリを同期] をクリックして、ディレクトリとの同期を開始します。

タスクの結果

Active Directory への接続が確立され、ユーザーとグループ名は Active Directory から VMware Identity Manager ディレクトリに同期されます。バインドユーザーは、デフォルトで VMware Identity Manager の管理者ロールを持っています。

グループの同期方法の詳細については、『VMware Identity Manager の管理』の「ユーザーおよびグループの管理」を参照してください。

次のタスク

認証方法をセットアップします。コネクタを認証にも使用している場合、ユーザーとグループ名がディレクトリに同期された後で、追加のコネクタ認証方法をセットアップできます。サードパーティの認証 ID プロバイダを使用している場合は、コネクタでその ID プロバイダを構成します。
デフォルトのアクセスポリシーを確認します。デフォルトのアクセスポリシーでは、すべてのネットワーク範囲にあるすべてのアプライアンスに対し、Web ポータルへのアクセスには 8 時間のセッションタイムアウト、クライアントアプリケーションへのアクセスには 2,160 時間（90日間）のセッションタイムアウトが設定されています。デフォルトのアクセスポリシーは変更できます。また、Web アプリケーションをカタログに追加するときに、新しいアクセスポリシーを作成することができます。