ID 管理サービスを提供する VMware Identity Manager (vIDM) と NSX を統合することができます。vIDM の展開は、スタンドアローンの vIDM ホストまたは vIDM クラスタのいずれかになります。
注:VMware Identity Manager の製品名は VMware Workspace ONE Access に代わりました。
vIDM ホストまたはすべての vIDM クラスタのコンポーネントに、認証局 (CA) の署名付き証明書が必要です。これがない場合には、Microsoft Edge や Internet Explorer 11 などの特定のブラウザで NSX Manager から vIDM にログインできないことがあります。vIDM に CA 署名証明書をインストールする方法については、https://docs.vmware.com/jp/VMware-Identity-Manager/index.htmlにある VMware Identity Manager のドキュメントを参照してください。
vIDM に NSX Manager を登録する際には、NSX Manager を参照するリダイレクト URI を指定します。完全修飾ドメイン名 (FQDN) または IP アドレスのいずれかを指定することができます。FQDN または IP アドレスのどちらを使用したかを必ず記録しておきます。vIDM を経由して NSX Manager にログインする際は、同様の方法で URL のホスト名を指定する必要があります。つまり、マネージャの vIDM への登録時に FQDN を使用した場合は URL に FQDN を指定し、登録時に IP アドレスを使用した場合には、URL に IP アドレスを指定する必要があります。正しい URL を指定しないとログインに失敗します。
- vIDM に既知の CA 署名証明書があること。
- vIDM に vIDM サービス側で信頼されたコネクタ CA 証明書があること。
- vIDM が送信コネクタ モードを使用していること。
仮想 IP または外部のロード バランサを使用していない場合に PTR レコードを作成するように DNS サーバを構成する必要があります(これは、マネージャがノードの物理 IP または FQDN で構成されていることを意味します)。
vIDM を外部のロード バランサと統合するように構成する場合は、ページの読み込みエラーや予期しないログアウトが発生しないように、ロード バランサでセッション パーシステンスを有効にする必要があります。
vIDM の展開が vIDM クラスタの場合、SSL ターミネーションと再暗号化のため vIDM ロード バランサを構成する必要があります。
vIDM が有効になっている場合、ローカル ユーザーのアカウントを使用して、URL https://<nsx-manager-ip-address>/login.jsp?local=true
から NSX Manager にログインできます。
UserPrincipalName (UPN) を使用して vIDM にログインすると、NSX の認証に失敗することがあります。この問題を回避するには、別のタイプの認証情報(SAMAccountName など)を使用します。
前提条件
- vIDM の展開タイプ(スタンドアローンの vIDM ホストまたは vIDM クラスタ)に応じて、vIDM ホストまたは vIDM ロード バランサの証明書サムプリントがあることを確認します。サムプリントを取得するコマンドは、どちらの場合も同じです。「vIDM ホストからの証明書サムプリントの取得」を参照してください。
- vIDM に NSX Manager が OAuth クライアントとして登録されていることを確認します。登録時に、クライアント ID とクライアント シークレット キーをメモしてください。詳細については、https://docs.vmware.com/jp/VMware-Workspace-ONE-Access/3.3/idm-administrator/GUID-AD4B6F91-2D68-48F2-9212-5B69D40A1FAE.htmlにある VMware Identity Manager のドキュメントを参照してください。クライアントを作成するときに必要な操作は次のとおりです。
- [アクセス タイプ] を[サービス クライアント トークン] に設定します。
- クライアント ID を指定します。
- [詳細] フィールドを展開して、[共有シークレット キーの生成] をクリックします。
- [追加] をクリックします。