オンプレミス展開の VMware Identity Manager に対して証明書認証を有効にするには、ロード バランサで SSL パススルーを設定する必要があります。VMware Identity Manager サービスが DMZ に展開され、VMware Identity Manager Connector が内部ネットワークに展開される DMZ 展開のシナリオで、コネクタへのインバウンド アクセスを許可しない場合は、VMware Identity Manager サービスに組み込まれているコネクタ上で証明書認証を有効にすることができます。

このシナリオでは、組み込みコネクタを証明書認証にのみ使用します。その他のすべての認証方法には外部コネクタを使用します。

証明書認証に組み込みコネクタを使用するには、ディレクトリ用に新しいワークスペース ID プロバイダを作成し、それを組み込みコネクタに関連付け、組み込みコネクタ上で証明書認証アダプタを有効にします。これで、証明書認証方法を使用するためのポリシーを構成できます。ポリシーはアプリケーションごとに設定することもできます。

また、エンド ユーザーと組み込みコネクタ間で SSL ハンドシェークが実行されるように証明書認証用の SSL パススルー ポートを構成する必要があります。[アプライアンス設定] ページで、ポートを設定してそのポートの SSL 証明書をアップロードし、ロード バランサのポートに対する SSL パススルーを有効にします。

その他のトラフィックは引き続きポート 443 を使用します。

注: この機能はローカル ディレクトリをサポートしていません。また、この機能はオンプレミスの DMZ 展開にのみ適用され、その他のインストール シナリオには適用されません。

[展開の要件]

  • VMware Identity Manager サービス アプライアンスの前のロード バランサで、証明書認証用の SSL パススルー ポートとして構成したポートの SSL パススルーを有効にします。デフォルト ポートは 7443 です。

    ポートの範囲は 1024 ~ 65535 にする必要があります。管理ポートである 8443 は使用できません。

  • ポートがロード バランサまたはファイアウォールで開いていることを確認します。

前提条件

VMware Identity Manager サーバ上の SSL パススルー ポートの場合は、パブリック認証局から署名付き SSL 証明書を取得します。証明書のホスト名はロード バランサのホスト名に一致する必要があります。また、証明書はエンド ユーザーによって信頼されている必要があります。

手順

  1. 証明書認証用の SSL パススルーのポートを設定します。
    1. 管理コンソールで、[アプライアンス設定] タブをクリックします。
    2. [構成の管理] をクリックし、管理者ユーザー パスワードを入力します。
    3. 左側のペインで [SSL 証明書のインストール] をクリックし、[パススルー証明書] タブを選択します。
    4. 必要な情報を入力します。
      オプション 説明
      ポート 証明書認証用の SSL パススルーのポートとして使用するポートを入力します。デフォルト ポートは 7443 です。

      ポートの範囲は 1024 ~ 65535 にする必要があります。管理ポートである 8443 は使用できません。

      注: ポートは、証明書が追加された場合のみ使用できます。
      SSL 証明書チェーン SSL 証明書をコピーして貼り付けます。次の順序ですべての証明書チェーンを含みます:

      サーバ証明書

      中間証明書

      ルート証明書

      各証明書について、-----BEGIN CERTIFICATE----- と -----END CERTIFICATE---- の行を含めて、これらの行の間にあるすべての行をコピーします。

      証明書は PEM 形式である必要があります。

      プライベート キー プライベート キーをコピーして貼り付けます。
    5. [追加] をクリックします。
      サーバが再起動します。
  2. 新しいワークスペース ID プロバイダを作成します。
    1. [ID とアクセス管理] タブをクリックしてから、[ID プロバイダ] タブをクリックします。
    2. [ID プロバイダを追加] をクリックして、[Workspace IDP を作成] を選択します。
    3. 新しい ID プロバイダの情報を入力します。
      オプション 説明
      ID プロバイダ名 ID プロバイダの名前を入力します。
      ユーザー 証明書認証を有効にするディレクトリを選択します。
      注: この機能はローカル ディレクトリをサポートしていません。
      コネクタ
      1. [コネクタの追加] ドロップダウン メニューから、組み込みコネクタを選択します。組み込みコネクタには、サービスと同じホスト名が付いています。
      2. [Active Directory にバインド] チェック ボックスをオフにします。
      3. [コネクタの追加] をクリックします。
      重要: [Active Directory にバインド] オプションを選択しないでください。
      ネットワーク ID プロバイダにアクセス可能なネットワーク範囲を選択します。
    4. [追加] をクリックします。
  3. 組み込みコネクタのポートを設定します。
    1. [ID とアクセス管理] タブをクリックし、[セットアップ] をクリックします。
    2. [コネクタ] ページで、組み込みコネクタ用に作成した新しいワークスペース ID プロバイダをクリックします。
    3. [IdP ホスト名] テキスト ボックスで、値を hostname から hostname:port に変更します。ここで、port は手順 1 の証明書認証に対して設定したカスタム ポートです。
    4. [保存] をクリックします。
  4. 組み込みコネクタ上で CertificateAuthAdapter を有効にします。
    1. [セットアップ] をクリックします。
    2. [コネクタ] ページで、組み込みコネクタを検索します。
      組み込みコネクタには、サービスと同じホスト名が付いています。
    3. 組み込みコネクタの行で、[ワーカー] 列のリンクをクリックします。
      各ワーカーは、ディレクトリに関連付けられます。複数のワーカーがリストされている場合は、証明書認証を有効にするディレクトリのワーカー リンクをクリックします。
    4. [認証アダプタ] タブをクリックします。
    5. [CertificateAuthAdapter] をクリックします。
    6. アダプタを構成して有効にします。詳細については、『VMware Identity Manager の管理』を参照してください。
    7. [保存] をクリックします。
  5. [ID プロバイダ] ページに証明書認証方法が表示されることを確認します。
    1. [管理] をクリックし、続いて [ID プロバイダ] タブをクリックします。
    2. 作成した新しい ID プロバイダの [認証方法] 列に [証明書認証] と表示されていることを確認します。
  6. ニーズに応じて、証明書認証方法を使用するためのポリシーを構成します。
    1. [管理] をクリックし、続いて [ID プロバイダ] タブをクリックします。
    2. 編集するポリシーをクリックします。
    3. 必要に応じて、証明書認証方法を使用するためのポリシー ルールを構成します。
    ポリシーの作成の詳細については、『 VMware Identity Manager の管理』を参照してください。