インバウンド接続モードが必要な内部ユーザーのための Kerberos 認証を、アウトバウンド接続モード コネクタの展開に追加できます。内部ネットワークからのユーザーの Kerberos 認証と、外部ネットワークからアクセスされるユーザーの別の認証方式に対して、同じコネクタを使用するように構成できます。これは、ネットワーク範囲に基づいて認証ポリシーを定義することで可能です。

次の図は、オンプレミスの VMware Identity Manager 展開での Kerberos 認証を示しています。

図 1. Kerberos 認証


Kerberos 認証の図


Kerberos 認証の要件と考慮事項は次のとおりです。

  • Kerberos 認証は、VMware Identity Manager、LDAP 経由の Active Directory、または Active Directory(統合 Windows 認証)で設定したディレクトリのタイプに関係なく構成できます。

  • VMware Identity Manager Connector がインストールされている Windows マシンは Active Directory ドメインに参加する必要があります。

  • 管理者グループの一部であるドメイン ユーザーとして、コネクタがインストールされている Windows マシンに VMware Identity Manager Connector をインストールしておく必要があります。また Windows ドメイン ユーザーとして VMware IDM コネクタ サービスを実行している必要があります。

  • コネクタには適切でわかりやすいホスト名を選択します。VMware Identity Manager Connector のホスト名は、Kerberos 認証を構成するときにエンド ユーザーに表示されます。

  • Kerberos 認証が構成されている各コネクタには信頼される SSL 証明書が必要です。証明書は内部の認証局から取得できます。Kerberos 認証は自己署名証明書では動作しません。

    信頼される SSL 証明書は、Kerberos を単一のコネクタで有効にするのか、高可用性のために複数のコネクタで有効にするのかに関係なく必要です。

  • Kerberos 認証の高可用性をセットアップするには、ロード バランサが必要です。