ID 管理サービスを提供する VMware Identity Manager (vIDM) と NSX を統合することができます。vIDM の展開は、スタンドアローンの vIDM ホストまたは vIDM クラスタのいずれかになります。

注:VMware Identity Manager の製品名は VMware Workspace ONE Access に代わりました。

vIDM ホストまたはすべての vIDM クラスタのコンポーネントに、認証局 (CA) の署名付き証明書が必要です。これがない場合には、Microsoft Edge や Internet Explorer 11 などの特定のブラウザで NSX Manager から vIDM にログインできないことがあります。vIDM に CA 署名証明書をインストールする方法については、https://docs.vmware.com/jp/VMware-Identity-Manager/index.htmlにある VMware Identity Manager のドキュメントを参照してください。

vIDM に NSX Manager を登録する際には、NSX Manager を参照するリダイレクト URI を指定します。完全修飾ドメイン名 (FQDN) または IP アドレスのいずれかを指定することができます。FQDN または IP アドレスのどちらを使用したかを必ず記録しておきます。vIDM を経由して NSX Manager にログインする際は、同様の方法で URL のホスト名を指定する必要があります。つまり、マネージャの vIDM への登録時に FQDN を使用した場合は URL に FQDN を指定し、登録時に IP アドレスを使用した場合には、URL に IP アドレスを指定する必要があります。正しい URL を指定しないとログインに失敗します。

NSX API へのアクセスが必要な場合は、次のいずれかの構成の条件を満たしている必要があります。
  • vIDM に既知の CA 署名証明書があること。
  • vIDM に vIDM サービス側で信頼されたコネクタ CA 証明書があること。
  • vIDM が送信コネクタ モードを使用していること。
注: NSX Manager と vIDM は、同じタイムゾーンにする必要があります。UTC の使用をおすすめします。

仮想 IP または外部のロード バランサを使用していない場合に PTR レコードを作成するように DNS サーバを構成する必要があります(これは、マネージャがノードの物理 IP または FQDN で構成されていることを意味します)。

vIDM を外部のロード バランサと統合するように構成する場合は、ページの読み込みエラーや予期しないログアウトが発生しないように、ロード バランサでセッション パーシステンスを有効にする必要があります。

vIDM の展開が vIDM クラスタの場合、SSL ターミネーションと再暗号化のため vIDM ロード バランサを構成する必要があります。

vIDM が有効になっている場合、ローカル ユーザーのアカウントを使用して、URL https://<nsx-manager-ip-address>/login.jsp?local=true から NSX Manager にログインできます。

UserPrincipalName (UPN) を使用して vIDM にログインすると、NSX の認証に失敗することがあります。この問題を回避するには、別のタイプの認証情報(SAMAccountName など)を使用します。

NSX Cloud を使用している場合は、URL https://<csm-ip-address>/login.jsp?local=true を使用して、別の CSM にログインできます。

前提条件

  • vIDM の展開タイプ(スタンドアローンの vIDM ホストまたは vIDM クラスタ)に応じて、vIDM ホストまたは vIDM ロード バランサの証明書サムプリントがあることを確認します。サムプリントを取得するコマンドは、どちらの場合も同じです。vIDM ホストからの証明書サムプリントの取得 を参照してください。
  • vIDM に NSX Manager が OAuth クライアントとして登録されていることを確認します。登録時に、クライアント ID とクライアント シークレット キーをメモしてください。詳細については、https://docs.vmware.com/jp/VMware-Workspace-ONE-Access/3.3/idm-administrator/GUID-AD4B6F91-2D68-48F2-9212-5B69D40A1FAE.htmlにある VMware Identity Manager のドキュメントを参照してください。クライアントを作成するときに必要な操作は次のとおりです。
    • [アクセス タイプ][サービス クライアント トークン] に設定します。
    • クライアント ID を指定します。
    • [詳細] フィールドを展開して、[共有シークレット キーの生成] をクリックします。
    • [追加] をクリックします。
    NSX Cloud の注 NSX Cloud を使用している場合は、vIDM で OAuth クライアントとして CSM が登録されていることも確認します。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [システム] > [ユーザー管理] > [認証プロバイダ] > [VMware Identity Manager] の順に選択します。
  3. [編集] をクリックします。
  4. 外部ロード バランサとの統合を有効にするには、[外部ロード バランサ統合] 切り替えボタンをクリックします。
    注: 仮想 IP (VIP) が設定されている場合 ( [システム] > [アプライアンス] > [仮想 IP] の順に選択)、 [外部ロード バランサ統合] を有効にしても、この設定は使用されません。vIDM を構成した場合、VIP か外部ロード バランサのいずれかを使用できますが、両方は使用できません。外部ロード バランサを使用する場合は、VIP を無効にします。詳細については、『 NSX インストール ガイド』の クラスタの仮想 IP アドレスの構成を参照してください。
  5. VMware Identity Manager との連携を有効にするには、[VMware Identity Manager との連携] 切り替えボタンをクリックします。
  6. 次の情報を指定します。
    パラメータ 説明
    VMware Identity Manager アプライアンス vIDM ホストまたは vIDM ロード バランサの完全修飾ドメイン名 (FQDN)。vIDM の展開タイプ(スタンドアローンの vIDM ホストまたは vIDM クラスタ)によって異なります。
    OAuth クライアント ID vIDM に NSX Manager を登録するときに作成される ID。
    OAuth クライアント シークレット キー vIDM に NSX Manager を登録するときに作成されるシークレット キー。
    SSL サムプリント vIDM ホストの証明書のサムプリント。SHA-256 サムプリントにする必要があります。
    NSX アプライアンス NSX Manager の IP アドレスまたは完全修飾ドメイン名 (FQDN)。NSX Manager クラスタを使用している場合は、ロード バランサの FQDN を使用するか、クラスタ VIP の FQDN または IP アドレスを使用します。FQDN を指定する場合は、ブラウザの URL に VMware Identity Manager の FQDN を使用して、NSX Manager にアクセスする必要があります。また、IP アドレスを指定する場合は、URL に IP アドレスを使用する必要があります。あるいは、vIDM 管理者が、FQDN または IP アドレスのいずれかを使用して接続できるように NSX Manager クライアントを構成します。
  7. [保存] をクリックします。
  8. NSX Cloud を使用している場合は、NSX Manager ではなく CSM にログインして、CSM アプライアンスから手順 1 ~ 8 を繰り返します。