SSO を使用することで、さまざまなコンポーネントがセキュアなトークン交換メカニズムを介した相互通信を行えるため、各コンポーネントが個別にユーザーを認証する必要がなく、vSphere と NSX のセキュリティを高めることができます。NSX Manager で Lookup Service を設定し、SSO 管理者の認証情報を入力して、NSX 管理サービスを SSO ユーザーとして登録することができます。Single Sign On (SSO) サービスを NSX に統合すると、vCenter ユーザーに対するユーザー認証のセキュリティが強化され、NSX が AD、NIS、LDAP など他の ID サービスからユーザーを認証できるようになります。

SSO により NSX は、REST API 呼び出しを介して、信頼されるソースからの認証済み Security Assertion Markup Language (SAML) トークンを使用する認証をサポートします。また NSX Manager では、他の VMware ソリューションで使用する認証 SAML トークンを取得できます。

NSX は、SSO ユーザーのグループ情報をキャッシュします。グループ メンバーシップを変更すると、ID プロバイダ(Active Directory など)から NSX への伝達に最大 60 分かかります。

前提条件

  • NSX Manager で SSO を使用するには、vCenter Server 5.5 以降が必要であり、vCenter Server に Single Sign-On (SSO) 認証サービスがインストールされている必要があります。これは組み込みの SSO が対象であることに注意してください。代わりに、デプロイで、外部の一元化された SSO サーバが使用される場合があります。

    vSphere が提供する SSO サービスの詳細については、http://kb.vmware.com/kb/2072435およびhttp://kb.vmware.com/kb/2113115を参照してください。

  • SSO サーバの時間と NSX Manager の時間が同期するよう、NTP サーバを指定する必要があります。

    次はその例です。

手順

  1. NSX Manager 仮想アプライアンスにログインします。

    Web ブラウザで、NSX Manager アプライアンスの GUI(https://<nsx-manager-ip> または https://<nsx-manager-hostname>)に移動し、NSX Manager のインストール時に設定したパスワードを使用して admin としてログインします。

  2. [管理 (Manage)] タブをクリックして、[NSX 管理サービス (NSX Management Service)] をクリックします。
  3. Lookup Service が実行されるホストの名前または IP アドレスを入力します。

    vCenter Server を使用して Lookup Service を実行する場合は、vCenter Server の IP アドレスまたはホスト名を入力し、vCenter Server のユーザー名とパスワードを入力します。

  4. ポート番号を入力します。

    vSphere 6.0 を使用している場合はポート 443 を入力し、vSphere 5.5 を使用している場合はポート 7444 を使用します。

    Lookup Service の URL は、指定されたホストおよびポートに基づいて表示されます。

    次はその例です。

  5. 証明書のサム プリントが vCenter Server の証明書と一致することを確認します。

    CA サーバに CA 署名付き証明書をインストールした場合は、CA 署名付き証明書のサムプリントが表示されます。CA 署名付き証明書をインストールしていない場合は、自己署名証明書が表示されます。

  6. Lookup Service のステータスが [接続中 (Connected)] になっていることを確認します。

    次はその例です。

次のタスク

SSO ユーザーにロールを割り当てます。