VMware Identity Manager コンソールで、Active Directory に接続するために必要な情報を入力し、VMware Identity Manager ディレクトリと同期するユーザーおよびグループを選択します。

Active Directory では、LDAP 経由の Active Directory または統合 Windows 認証を使用する Active Directory の接続オプションを使用できます。LDAP 経由の Active Directory 接続では、DNS サービス ロケーション ルックアップがサポートされます。

前提条件

  • VMware Identity Manager Connector インスタンスをインストールしてアクティベーションします。VMware Identity Manager Connector (Windows) のインストールと構成を参照してください。
  • VMware Identity Manager コンソールの [ユーザー属性] ページで、必須の属性を選択し、その他の属性を追加します。ディレクトリと同期する属性の選択を参照してください。
  • Active Directory から同期する Active Directory のユーザーとグループのリストを作成します。グループ名はただちにディレクトリと同期されます。グループのメンバーは、グループにリソースの使用資格が付与されるか、グループがポリシー ルールに追加されるまで同期しません。グループ資格が構成される前に認証を必要とするユーザーは、最初の構成中に追加する必要があります。
  • LDAP 経由の Active Directory の場合、使用するベース DN、バインド DN、およびバインド DN パスワードが必要となります。

    バインド DN ユーザーがユーザーおよびグループ オブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。

    • 読み取り
    • すべてのプロパティの読み取り
    • アクセス許可の読み取り
    注: 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
  • 統合 Windows 認証を使用する Active Directory の場合、必要なドメインのユーザーとグループをクエリする権限を持つバインド ユーザーのユーザー名とパスワードが必要です。

    バインド ユーザーがユーザーおよびグループ オブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。

    • 読み取り
    • すべてのプロパティの読み取り
    • アクセス許可の読み取り
    注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
  • Active Directory が SSL または STARTTLS を介したアクセスを必要とする場合、関連するすべての Active Directory ドメインに対するドメイン コントローラのルート CA 証明書が必要です。
  • 統合 Windows 認証 を使用する Active Directory では、マルチフォレスト Active Directory が構成されていて、さらにドメイン ローカル グループに異なるフォレストのドメインのメンバーが含まれる場合、バインド ユーザーをドメイン ローカル グループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメイン ローカル グループに含まれません。
  • 統合 Windows 認証を使用する Active Directory の場合:
    • SRV レコードのリストに含まれるすべてのドメイン コントローラおよび非表示の RODC について、ホスト名と IP アドレスの nslookup が動作する必要があります。
    • ネットワーク接続で、すべてのドメイン コントローラにアクセスできる必要があります。

手順

  1. VMware Identity Manager コンソールで、[ID とアクセス管理] タブをクリックします。
  2. [ディレクトリ] ページで、[ディレクトリの追加] をクリックします。
  3. この VMware Identity Manager ディレクトリの名前を入力します。
  4. 環境内の Active Directory のタイプを選択して、接続情報を構成します。
    オプション 説明
    LDAP 経由の Active Directory
    1. [コネクタの同期] テキスト ボックスで、Active Directory との同期に使用する コネクタ を選択します。
    2. この Active Directory をユーザー認証に使用する場合は、[認証] テキスト ボックスで、[はい] をクリックします。

      ユーザー認証にサードパーティの ID プロバイダが使用されている場合、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

    3. [ディレクトリ検索属性] テキスト ボックスで、ユーザー名を含むアカウント属性を選択します。
    4. Active Directory で DNS サービス ロケーション ルックアップを使用する場合は、次の項目を選択します。
      • [サービス ロケーション] セクションで、[このディレクトリ は DNS サービス ロケーションをサポートします] チェック ボックスを選択します。

        VMware Identity Manager が、最適なドメイン コントローラを検索して使用します。最適化されたドメイン コントローラの選択を使用しない場合は、代わりに e. の手順を実行します。

      • Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] テキスト ボックスに貼り付けます。

        証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

        注: Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。
    5. Active Directory の DNS サービス ロケーション ルックアップを使用しない場合は、次の項目を選択します。
      • [サービス ロケーション] セクションで、[このディレクトリ は DNS サービス ロケーションをサポートします] チェック ボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。

        グローバル カタログとしてディレクトリを構成するには、Active Directory 環境の「マルチ ドメイン、シングル フォレストの Active Directory 環境」セクションを参照してください。

      • Active Directory が SSL 経由のアクセスを必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。

        証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

        ディレクトリに複数のドメインがある場合は、すべてのドメインのルート CA 証明書を順番に追加します。

        注: Active Directory が SSL を必要とする場合、証明書がなければディレクトリを作成できません。
    6. [ベース DN] フィールドに、アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。
    7. [バインド DN] フィールドに、ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。
      注: 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
    8. バインド パスワードを入力したら、[接続をテスト] をクリックして、ディレクトリが Active Directory に接続できることを確認します。
    Active Directory(統合 Windows 認証)
    1. [コネクタの同期] テキスト ボックスで、Active Directory との同期に使用する コネクタ を選択します。
    2. この Active Directory をユーザー認証に使用する場合は、[認証] テキスト ボックスで、[はい] をクリックします。

      ユーザー認証にサードパーティの ID プロバイダが使用されている場合、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

    3. [ディレクトリ検索属性] テキスト ボックスで、ユーザー名を含むアカウント属性を選択します。
    4. Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには STARTTLS を使用するすべての接続が必要です] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] テキスト ボックスに貼り付けます。

      証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

      ディレクトリに複数のドメインがある場合は、すべてのドメインのルート CA 証明書を順番に追加します。

      注: Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。
    5. [バインド ユーザーの詳細] セクションに、必要なドメインのユーザーとグループをクエリする権限を持つバインド ユーザーのユーザー名とパスワードを入力します。ユーザー名には、sAMAccountName(たとえば jdoe)を入力します。バインド ユーザーのドメインが上記で入力した [ドメインに参加] のドメインと異なる場合は、sAMAccountName@domain の形式でユーザー名を入力します。domain は完全修飾ドメイン名です。たとえば、[email protected] のように入力します。
      注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
  5. [保存して次へ] をクリックします。
    ドメイン リストのページが表示されます。
  6. LDAP 経由の Active Directory では、ドメインにチェック マークが付けられて表示されます。
    [Active Directory(統合 Windows 認証)] で、この Active Directory 接続に関連付ける必要があるドメインを選択します。
    注: ディレクトリが作成された後に信頼するドメインを追加する場合、サービスは新規に追加されたドメインを自動的に検出しません。サービスによるドメインの検出を有効にするには、 コネクタをドメインから切り離してから、ドメインに再度参加させる必要があります。 コネクタがドメインに再度参加すると、信頼するドメインがリストに表示されます。

    [次へ] をクリックします。

  7. VMware Identity Manager ディレクトリの属性名が正しい Active Directory 属性にマッピングされていることを確認し、必要に応じて変更して、[次へ] をクリックします。
  8. Active Directory から VMware Identity Manager ディレクトリに同期するグループを選択します。
    ここでグループを追加すると、グループ名がディレクトリと同期されます。グループのメンバーであるユーザーは、グループにアプリケーションの使用資格が付与されるか、グループ名がアクセス ポリシー ルールに追加されるまで、ディレクトリに同期されません。以降のスケジュール同期では、これらのグループ名に対する更新された情報が Active Directory から取得されます。
    オプション 説明
    グループ DN を指定 グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。
    1. [+] をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。
      重要: 入力したベース DN の配下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
    2. [グループの検索] をクリックします。

      [同期するグループ] 列には、DN に含まれるグループの数が表示されます。

    3. DN に含まれるすべてのグループを選択する場合は [すべてを選択] をクリックします。グループを個別に選択する場合は [選択] をクリックし、同期対象となる特定のグループを選択します。
    注: グループを同期する際、Active Directory のプライマリ グループである Domain Users に属していないユーザーの同期は行われません。
    ネストされたグループ メンバーを同期

    [ネストされたグループ メンバーを同期] オプションは、デフォルトで有効になっています。このオプションが有効になっていると、グループに資格が付与されるときに、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。VMware Identity Manager ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。

    [ネストされたグループ メンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory 構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。

  9. [次へ] をクリックします。
  10. 同期するユーザーを指定します。
    グループのメンバーは、グループにアプリケーションの使用資格が付与されるか、グループがアクセス ポリシー ルールに追加されるまでディレクトリに同期されないため、グループ資格が構成される前に認証を必要とするすべてのユーザーを追加します。
    1. [+] をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。
      重要: 入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
    2. (オプション)ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。
      フィルタリングの基準となるユーザー属性、使用するクエリ ルールを選択し、値を追加します。値は大文字と小文字を区別しません。 [*^()?!$] の文字は文字列には使用できません。
  11. 同期するユーザーを指定します。
    グループのメンバーは、グループにアプリケーションの使用資格が付与されるか、グループがアクセス ポリシー ルールに追加されるまでディレクトリに同期されないため、グループ資格が構成される前に認証を必要とするすべてのユーザーを追加します。
    1. [+] をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。
      重要: 入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
    2. (オプション)ユーザーを除外するには、選択した属性に基づいてユーザーを除外するフィルタを作成します。複数の除外フィルタを作成することができます。
      フィルタリングの基準となるユーザー属性と、定義した値に適用するクエリ フィルタを選択します。
      オプション 説明
      次を含む 設定した属性と値に一致するすべてのユーザーを除外します。たとえば、[name 次を含む Jane] は「Jane」という名前のユーザーを除外します。
      次を含まない 設定した属性と値に一致するユーザー以外のすべてのユーザーを除外します。たとえば、[telephoneNumber 次を含まない 800] は電話番号に「800」が含まれるユーザーのみを含めます。
      次で始まる 属性値で文字が <xxx> で始まるすべてのユーザーを除外します。たとえば、[employeeID 次で始まる ACME0] は、ID 番号の先頭に「ACME0」を含む従業員 ID を持つすべてのユーザーを除外します。
      次で終わる 属性値で文字が <yyy> で終わるすべてのユーザーを除外します。たとえば、[mail 次で終わる example1.com] は、メール アドレスが「example1.com」で終わるすべてのユーザーを除外します。
    値は大文字と小文字を区別しません。値の文字列には次の記号は使用できません。
    • アスタリスク *
    • カレット ^
    • 括弧 ()
    • 疑問符 ?
    • 感嘆符 !
    • ドル記号 $
  12. [次へ] をクリックします。
  13. ページを確認して、ディレクトリに同期するユーザーとグループの数や、同期スケジュールを確認します。

    ユーザーとグループや、同期の頻度に変更を加えるには、[編集] リンクをクリックします。

  14. [ディレクトリを同期] をクリックして、ディレクトリとの同期を開始します。

結果

Active Directory への接続が確立され、ユーザーとグループ名は Active Directory から VMware Identity Manager ディレクトリに同期されます。バインド ユーザーは、デフォルトで VMware Identity Manager の管理者ロールを持っています。

グループの同期方法の詳細については、『VMware Identity Manager の管理』の「ユーザーおよびグループの管理」を参照してください。

次のタスク

  • 認証方法をセットアップします。コネクタを認証にも使用している場合、ユーザーとグループ名がディレクトリに同期された後で、追加のコネクタ認証方法をセットアップできます。サードパーティの認証 ID プロバイダを使用している場合は、コネクタでその ID プロバイダを構成します。
  • デフォルトのアクセス ポリシーを確認します。デフォルトのアクセス ポリシーでは、すべてのネットワーク範囲にあるすべてのアプライアンスに対し、Web ポータルへのアクセスには 8 時間のセッション タイムアウト、クライアント アプリケーションへのアクセスには 2,160 時間(90日間)のセッション タイムアウトが設定されています。デフォルトのアクセス ポリシーは変更できます。また、Web アプリケーションをカタログに追加するときに、新しいアクセス ポリシーを作成することができます。
  • (オンプレミス)VMware Identity Manager コンソール、ユーザー ポータル ページおよびログイン画面に、必要に応じてカスタム ブランディングを適用します。