VMware Identity Manager コンソールで、Active Directory に接続するために必要な情報を入力し、VMware Identity Manager ディレクトリと同期するユーザーおよびグループを選択します。
Active Directory では、LDAP 経由の Active Directory または統合 Windows 認証を使用する Active Directory の接続オプションを使用できます。LDAP 経由の Active Directory 接続では、DNS サービス ロケーション ルックアップがサポートされます。
前提条件
- VMware Identity Manager Connector インスタンスをインストールしてアクティベーションします。VMware Identity Manager Connector (Windows) のインストールと構成を参照してください。
- VMware Identity Manager コンソールの [ユーザー属性] ページで、必須の属性を選択し、その他の属性を追加します。ディレクトリと同期する属性の選択を参照してください。
- Active Directory から同期する Active Directory のユーザーとグループのリストを作成します。グループ名はただちにディレクトリと同期されます。グループのメンバーは、グループにリソースの使用資格が付与されるか、グループがポリシー ルールに追加されるまで同期しません。グループ資格が構成される前に認証を必要とするユーザーは、最初の構成中に追加する必要があります。
- LDAP 経由の Active Directory の場合、使用するベース DN、バインド DN、およびバインド DN パスワードが必要となります。
バインド DN ユーザーがユーザーおよびグループ オブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。
- 読み取り
- すべてのプロパティの読み取り
- アクセス許可の読み取り
注: 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
- 統合 Windows 認証を使用する Active Directory の場合、必要なドメインのユーザーとグループをクエリする権限を持つバインド ユーザーのユーザー名とパスワードが必要です。
バインド ユーザーがユーザーおよびグループ オブジェクトへのアクセス権限を付与するには、Active Directory に次の権限を持っている必要があります。
- 読み取り
- すべてのプロパティの読み取り
- アクセス許可の読み取り
注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
- Active Directory が SSL または STARTTLS を介したアクセスを必要とする場合、関連するすべての Active Directory ドメインに対するドメイン コントローラのルート CA 証明書が必要です。
- 統合 Windows 認証 を使用する Active Directory では、マルチフォレスト Active Directory が構成されていて、さらにドメイン ローカル グループに異なるフォレストのドメインのメンバーが含まれる場合、バインド ユーザーをドメイン ローカル グループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメイン ローカル グループに含まれません。
- 統合 Windows 認証を使用する Active Directory の場合:
- SRV レコードのリストに含まれるすべてのドメイン コントローラおよび非表示の RODC について、ホスト名と IP アドレスの nslookup が動作する必要があります。
- ネットワーク接続で、すべてのドメイン コントローラにアクセスできる必要があります。
手順
- VMware Identity Manager コンソールで、[ID とアクセス管理] タブをクリックします。
- [ディレクトリ] ページで、[ディレクトリの追加] をクリックします。
- この VMware Identity Manager ディレクトリの名前を入力します。
- 環境内の Active Directory のタイプを選択して、接続情報を構成します。
オプション |
説明 |
LDAP 経由の Active Directory |
- [コネクタの同期] テキスト ボックスで、Active Directory との同期に使用する コネクタ を選択します。
- この Active Directory をユーザー認証に使用する場合は、[認証] テキスト ボックスで、[はい] をクリックします。
ユーザー認証にサードパーティの ID プロバイダが使用されている場合、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。
- [ディレクトリ検索属性] テキスト ボックスで、ユーザー名を含むアカウント属性を選択します。
- Active Directory で DNS サービス ロケーション ルックアップを使用する場合は、次の項目を選択します。
- [サービス ロケーション] セクションで、[このディレクトリ は DNS サービス ロケーションをサポートします] チェック ボックスを選択します。
VMware Identity Manager が、最適なドメイン コントローラを検索して使用します。最適化されたドメイン コントローラの選択を使用しない場合は、代わりに e. の手順を実行します。
- Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] テキスト ボックスに貼り付けます。
証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。
注: Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。
- Active Directory の DNS サービス ロケーション ルックアップを使用しない場合は、次の項目を選択します。
- [サービス ロケーション] セクションで、[このディレクトリ は DNS サービス ロケーションをサポートします] チェック ボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。
グローバル カタログとしてディレクトリを構成するには、Active Directory 環境の「マルチ ドメイン、シングル フォレストの Active Directory 環境」セクションを参照してください。
- Active Directory が SSL 経由のアクセスを必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。
証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。 ディレクトリに複数のドメインがある場合は、すべてのドメインのルート CA 証明書を順番に追加します。
注: Active Directory が SSL を必要とする場合、証明書がなければディレクトリを作成できません。
- [ベース DN] フィールドに、アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。
- [バインド DN] フィールドに、ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。
注: 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
- バインド パスワードを入力したら、[接続をテスト] をクリックして、ディレクトリが Active Directory に接続できることを確認します。
|
Active Directory(統合 Windows 認証) |
- [コネクタの同期] テキスト ボックスで、Active Directory との同期に使用する コネクタ を選択します。
- この Active Directory をユーザー認証に使用する場合は、[認証] テキスト ボックスで、[はい] をクリックします。
ユーザー認証にサードパーティの ID プロバイダが使用されている場合、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。
- [ディレクトリ検索属性] テキスト ボックスで、ユーザー名を含むアカウント属性を選択します。
- Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには STARTTLS を使用するすべての接続が必要です] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] テキスト ボックスに貼り付けます。
証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。 ディレクトリに複数のドメインがある場合は、すべてのドメインのルート CA 証明書を順番に追加します。
注: Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。
- [バインド ユーザーの詳細] セクションに、必要なドメインのユーザーとグループをクエリする権限を持つバインド ユーザーのユーザー名とパスワードを入力します。ユーザー名には、sAMAccountName(たとえば jdoe)を入力します。バインド ユーザーのドメインが上記で入力した [ドメインに参加] のドメインと異なる場合は、sAMAccountName@domain の形式でユーザー名を入力します。domain は完全修飾ドメイン名です。たとえば、[email protected] のように入力します。
注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
|
- [保存して次へ] をクリックします。
ドメイン リストのページが表示されます。
- LDAP 経由の Active Directory では、ドメインにチェック マークが付けられて表示されます。
[Active Directory(統合 Windows 認証)] で、この Active Directory 接続に関連付ける必要があるドメインを選択します。
注: ディレクトリが作成された後に信頼するドメインを追加する場合、サービスは新規に追加されたドメインを自動的に検出しません。サービスによるドメインの検出を有効にするには、
コネクタをドメインから切り離してから、ドメインに再度参加させる必要があります。
コネクタがドメインに再度参加すると、信頼するドメインがリストに表示されます。
[次へ] をクリックします。
- VMware Identity Manager ディレクトリの属性名が正しい Active Directory 属性にマッピングされていることを確認し、必要に応じて変更して、[次へ] をクリックします。
- Active Directory から VMware Identity Manager ディレクトリに同期するグループを選択します。
ここでグループを追加すると、グループ名がディレクトリと同期されます。グループのメンバーであるユーザーは、グループにアプリケーションの使用資格が付与されるか、グループ名がアクセス ポリシー ルールに追加されるまで、ディレクトリに同期されません。以降のスケジュール同期では、これらのグループ名に対する更新された情報が Active Directory から取得されます。
オプション |
説明 |
グループ DN を指定 |
グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。
- [+] をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。
重要: 入力したベース DN の配下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
- [グループの検索] をクリックします。
[同期するグループ] 列には、DN に含まれるグループの数が表示されます。
- DN に含まれるすべてのグループを選択する場合は [すべてを選択] をクリックします。グループを個別に選択する場合は [選択] をクリックし、同期対象となる特定のグループを選択します。
注: グループを同期する際、Active Directory のプライマリ グループである Domain Users に属していないユーザーの同期は行われません。
|
ネストされたグループ メンバーを同期 |
[ネストされたグループ メンバーを同期] オプションは、デフォルトで有効になっています。このオプションが有効になっていると、グループに資格が付与されるときに、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。VMware Identity Manager ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。 [ネストされたグループ メンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory 構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。 |
- [次へ] をクリックします。
- 同期するユーザーを指定します。
グループのメンバーは、グループにアプリケーションの使用資格が付与されるか、グループがアクセス ポリシー ルールに追加されるまでディレクトリに同期されないため、グループ資格が構成される前に認証を必要とするすべてのユーザーを追加します。
- [+] をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。
重要: 入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
- (オプション)ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。
フィルタリングの基準となるユーザー属性、使用するクエリ ルールを選択し、値を追加します。値は大文字と小文字を区別しません。
[*^()?!$] の文字は文字列には使用できません。
- 同期するユーザーを指定します。
グループのメンバーは、グループにアプリケーションの使用資格が付与されるか、グループがアクセス ポリシー ルールに追加されるまでディレクトリに同期されないため、グループ資格が構成される前に認証を必要とするすべてのユーザーを追加します。
- [+] をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。
重要: 入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
- (オプション)ユーザーを除外するには、選択した属性に基づいてユーザーを除外するフィルタを作成します。複数の除外フィルタを作成することができます。
フィルタリングの基準となるユーザー属性と、定義した値に適用するクエリ フィルタを選択します。
オプション |
説明 |
次を含む |
設定した属性と値に一致するすべてのユーザーを除外します。たとえば、[name 次を含む Jane] は「Jane」という名前のユーザーを除外します。 |
次を含まない |
設定した属性と値に一致するユーザー以外のすべてのユーザーを除外します。たとえば、[telephoneNumber 次を含まない 800] は電話番号に「800」が含まれるユーザーのみを含めます。 |
次で始まる |
属性値で文字が <xxx> で始まるすべてのユーザーを除外します。たとえば、[employeeID 次で始まる ACME0] は、ID 番号の先頭に「ACME0」を含む従業員 ID を持つすべてのユーザーを除外します。 |
次で終わる |
属性値で文字が <yyy> で終わるすべてのユーザーを除外します。たとえば、[mail 次で終わる example1.com] は、メール アドレスが「example1.com」で終わるすべてのユーザーを除外します。 |
値は大文字と小文字を区別しません。値の文字列には次の記号は使用できません。
- アスタリスク
*
- カレット
^
- 括弧
(
)
- 疑問符
?
- 感嘆符
!
- ドル記号
$
- [次へ] をクリックします。
- ページを確認して、ディレクトリに同期するユーザーとグループの数や、同期スケジュールを確認します。
ユーザーとグループや、同期の頻度に変更を加えるには、[編集] リンクをクリックします。
- [ディレクトリを同期] をクリックして、ディレクトリとの同期を開始します。
結果
Active Directory への接続が確立され、ユーザーとグループ名は Active Directory から VMware Identity Manager ディレクトリに同期されます。バインド ユーザーは、デフォルトで VMware Identity Manager の管理者ロールを持っています。
グループの同期方法の詳細については、『VMware Identity Manager の管理』の「ユーザーおよびグループの管理」を参照してください。
次のタスク
- 認証方法をセットアップします。コネクタを認証にも使用している場合、ユーザーとグループ名がディレクトリに同期された後で、追加のコネクタ認証方法をセットアップできます。サードパーティの認証 ID プロバイダを使用している場合は、コネクタでその ID プロバイダを構成します。
- デフォルトのアクセス ポリシーを確認します。デフォルトのアクセス ポリシーでは、すべてのネットワーク範囲にあるすべてのアプライアンスに対し、Web ポータルへのアクセスには 8 時間のセッション タイムアウト、クライアント アプリケーションへのアクセスには 2,160 時間(90日間)のセッション タイムアウトが設定されています。デフォルトのアクセス ポリシーは変更できます。また、Web アプリケーションをカタログに追加するときに、新しいアクセス ポリシーを作成することができます。
- (オンプレミス)VMware Identity Manager コンソール、ユーザー ポータル ページおよびログイン画面に、必要に応じてカスタム ブランディングを適用します。