VMware Identity Manager インスタンスが展開されたら、セットアップ ウィザードを使用してパスワードを設定し、データベースを選択します。次に、Active Directory または LDAP ディレクトリへの接続をセットアップします。

セットアップ ウィザードを実行する場合は、完全修飾ホスト名を使用します。名前には IP アドレスを入力しないでください。

前提条件

  • VMware Identity Manager マシンがパワーオンされています。
  • 外部データベースが構成されており、外部データベース接続情報が利用可能です。セットアップ ウィザードを実行する前に、データベースの設定が正しいことを確認します。詳細については、VMware Identity Manager サービス データベースの作成を参照してください。
  • ディレクトリを設定する前に、要件および制限事項について「VMware Identity Manager とのディレクトリ統合」を確認してください。
  • Active Directory または LDAP ディレクトリの情報を入手しています。
  • マルチフォレスト Active Directory が構成され、ドメイン ローカル グループに異なるフォレストのドメインのメンバが含まれる場合、VMware Identity Manager ディレクトリ ページで使用されるバインド DN ユーザーをドメイン ローカル グループが存在するドメインの管理者グループに追加する必要があります。これを行わなければ、これらのメンバーはドメイン ローカル グループに含まれません。
  • フィルタとして使用するユーザー属性のリスト、および VMware Identity Manager に追加するグループとユーザーのリストを入手しています。

    グループ名はただちにディレクトリと同期されます。グループのメンバーは、グループにリソースの使用資格が付与されるか、グループがポリシー ルールに追加されるまで同期しません。グループ資格が構成される前に認証を必要とするユーザーは、最初の構成中に直接追加する必要があります。

手順

  1. インストールが完了したら、表示された VMware Identity Manager URL に移動します。完全修飾ドメイン名 (FQDN) を入力します。たとえば、https://hostname.example.com のように表示されます。
  2. 証明書への同意を求めるメッセージが表示されたら、同意します。
    証明書の更新は最初の設定の後に可能です。
  3. [開始する] ページで [続行] をクリックします。
  4. [パスワードを設定] ページで、次の管理者アカウントのパスワードを設定します。これらはアプライアンスの管理に使用されます。設定したら [続行] をクリックします。
    アカウント
    アプライアンス管理者 [管理者] ユーザーのパスワードを設定します。このユーザー名は変更できません。[admin] ユーザー アカウントは、アプライアンス設定の管理に使用されます。
    重要: [admin] ユーザーは、6 文字以上のパスワードを使用する必要があります。
    アプライアンスの root ユーザー root ユーザー パスワードを設定します。[root] ユーザーは、アプライアンスのすべての権限を持ちます。
    リモート ユーザー [sshuser] のパスワードを設定します。これは、SSH 接続を使用してリモートからアプライアンスにログインするために使用されます。
  5. [データベースを選択] ページで、使用するデータベースを選択します。
    外部データベース使用のための VMware Identity Manager の構成を参照してください。
    • 外部データベースを使用する場合は、[外部データベース] を選択し、外部データベースの接続情報、ユーザー名、およびパスワードを入力します。VMware Identity Manager がデータベースに接続できることを確認するには、[接続をテスト] をクリックします。

      接続を確認したら、[続行] をクリックします。

    • 内部データベースを使用している場合は、[続行] をクリックします。
      注: 本番環境では、内部データベースを使用することをお勧めしません。
    データベースへの接続を構成し、データベースを初期化します。このプロセスが完了すると、 [セットアップが完了しました] ページが表示されます。
  6. [セットアップが完了しました] ページで [管理コンソールにログインします] リンクをクリックし、VMware Identity Manager コンソールにログインして Active Directory または LDAP ディレクトリ接続をセットアップします。
  7. 設定したパスワードを使用して、[管理者] ユーザーとして VMware Identity Manager コンソールにログインします。
    ローカル管理者としてログインしており、[ディレクトリ] ページが表示されます。ディレクトリを追加する前に、要件および制限事項について「 VMware Identity Manager とのディレクトリ統合」を確実に参照してください。
  8. [ID とアクセス管理] タブをクリックします。
  9. [セットアップ] > [ユーザー属性] をクリックして、ディレクトリと同期するユーザー属性を選択します。
    デフォルト属性が表示され、必須の属性を選択できます。属性に必須のマークが付いている場合は、その属性を持つユーザーのみがサービスに同期されます。別の属性を追加することもできます。
    重要: ディレクトリの作成後は、必須属性にする属性を変更できません。その選択は、この時点で行う必要があります。

    また、[ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されることに注意してください。属性に必須のマークを付ける場合は、他のディレクトリへの影響を考慮してください。属性に必須のマークが付いている場合は、その属性を持たないユーザーはサービスに同期されません。

  10. [保存] をクリックします。
  11. [ID とアクセス管理] タブをクリックします。
  12. [ディレクトリ] ページで、[ディレクトリを追加] をクリックし、統合するディレクトリのタイプに基づいて [LDAP/IWA 経由の Active Directory を追加] または [LDAP ディレクトリを追加] を選択します。
    また、サービスでローカル ディレクトリを作成することもできます。ローカル ディレクトリの詳細については、 #GUID-FF1F0D8B-F68E-41CE-B2F7-733F32B82665を参照してください。
  13. Active Directory の場合は、次の手順を実行します。
    1. VMware Identity Manager で作成するディレクトリの名前を入力し、ディレクトリのタイプ([LDAP 経由の Active Directory] または [Active Directory(統合 Windows 認証)] のいずれか)を選択します。
    2. 接続情報を入力します。
      オプション 説明
      LDAP 経由の Active Directory
      1. [コネクタを同期] フィールドで、Active Directory から VMware Identity Manager ディレクトリにユーザーとグループを同期するための コネクタ を選択します。

        コネクタ コンポーネントは、デフォルトではVMware Identity Managerサービスで常に利用できます。このコネクタは、ドロップダウン リストに表示されます。高可用性を実現するために複数の VMware Identity Managerアプライアンスを展開すると、それぞれのコネクタ コンポーネントがリストに表示されます。

      2. この Active Directory を使用してユーザー認証を行う場合は、[認証] フィールドで [はい] をクリックします。

        サードパーティの ID プロバイダを使用してユーザーを認証する場合は、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] ページの順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

      3. [ディレクトリ検索属性] フィールドで、ユーザー名を含むアカウント属性を選択します。
      4. Active Directory が DNS サービス ロケーション ルックアップを使用する場合は、次のように選択します。
        • [サービス ロケーション] セクションで、[このディレクトリ は DNS サービス ロケーションをサポートします] チェックボックスを選択します。
        • Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。

          証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

          注: Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。
      5. Active Directory が DNS サービス ロケーション ルックアップを使用しない場合は、次のように選択します。
        • [サービス ロケーション] セクションで、[このディレクトリ は DNS サービス ロケーションをサポートします] チェックボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。

          グローバル カタログとしてディレクトリを構成するには、「VMware Identity Manager とのディレクトリ統合」の「Active Directory 環境」にある「マルチ ドメイン、シングル フォレストの Active Directory 環境」セクションを参照してください。

        • Active Directory が SSL 経由のアクセスを必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。

          証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

          注: Active Directory が SSL を必要とする場合、証明書がなければディレクトリを作成できません。
      6. [パスワードの変更を許可] セクションで、パスワードの有効期限が切れたとき、または Active Directory 管理者がユーザーのパスワードをリセットしたときにユーザーが VMware Identity Manager ログイン ページからパスワードをリセットできるようにするには、[パスワードの変更を有効にする] を選択します。
      7. [ベース DN] フィールドに、アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。
      8. [バインド DN] フィールドに、ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。
        注: 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
      9. バインド パスワードを入力したら、[接続をテスト] をクリックして、ディレクトリが Active Directory に接続できることを確認します。
      Active Directory(統合 Windows 認証)
      1. [コネクタを同期] フィールドで、Active Directory から VMware Identity Manager ディレクトリにユーザーとグループを同期するための コネクタ を選択します。

        コネクタ コンポーネントは、デフォルトでは VMware Identity Manager サービスで常に利用できます。このコネクタは、ドロップダウン リストに表示されます。高可用性を実現するために複数の VMware Identity Manager アプライアンスを展開すると、それぞれのコネクタ コンポーネントがリストに表示されます。

      2. この Active Directory を使用してユーザー認証を行う場合は、[認証] フィールドで [はい] をクリックします。

        サードパーティの ID プロバイダを使用してユーザーを認証する場合は、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] ページの順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

      3. [ディレクトリ検索属性] フィールドで、ユーザー名を含むアカウント属性を選択します。
      4. Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには STARTTLS を使用するすべての接続が必要] チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。

        証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

        ディレクトリに複数のドメインが含まれる場合は、ルート CA 証明書をすべてのドメインに 1 つずつ追加していきます。

        注: Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。
      5. 参加する Active Directory ドメインの名前を入力します。ドメインへの参加権限を持つユーザーの名前とパスワードを入力します。詳細については、「VMware Identity Manager とのディレクトリ統合」の「ドメインへの参加に必要な権限」を参照してください。
      6. [パスワードの変更を許可] セクションで、パスワードの有効期限が切れたとき、または Active Directory 管理者がユーザーのパスワードをリセットしたときにユーザーが VMware Identity Manager ログイン ページからパスワードをリセットできるようにするには、[パスワードの変更を有効にする] を選択します。
      7. [バインド ユーザーの詳細] セクションに、必要なドメインのユーザーとグループをクエリする権限を持つバインド ユーザーのユーザー名とパスワードを入力します。ユーザー名には、sAMAccountName(たとえば jdoe)を入力します。バインド ユーザーのドメインが上記で入力した [ドメインに参加] のドメインと異なる場合は、sAMAccountName@domain の形式でユーザー名を入力します。domain は完全修飾ドメイン名です。たとえば、[email protected] のように入力します。
        注: 有効期限のないパスワードを持つバインド ユーザー アカウントを使用することを推奨します。
    3. [保存して次へ] をクリックします。
      ドメイン リストのページが表示されます。
  14. LDAP ディレクトリの場合は、次の手順を実行します。
    1. 接続情報を入力します。
      オプション 説明
      ディレクトリ名 VMware Identity Manager に作成しているディレクトリの名前。
      ディレクトリの同期と認証
      1. [コネクタを同期] フィールドで、LDAP ディレクトリから VMware Identity Manager ディレクトリにユーザーとグループを同期するためのコネクタを選択します。

        コネクタ コンポーネントは、デフォルトではVMware Identity Managerサービスで常に利用できます。このコネクタは、ドロップダウン リストに表示されます。高可用性を実現するために複数の VMware Identity Managerアプライアンスを展開すると、それぞれのコネクタ コンポーネントがリストに表示されます。

        LDAP ディレクトリ用の個別のコネクタは必要ありません。コネクタは、Active Directory であるか LDAP ディレクトリであるかにかかわらず複数のディレクトリをサポートすることができます。

      2. この LDAP ディレクトリを使用してユーザー認証を行う場合は、[認証] フィールドで [はい] をクリックします。

        サードパーティの ID プロバイダを使用してユーザーを認証する場合は、[いいえ] を選択します。ユーザーとグループを同期するようにディレクトリ接続を追加したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] ページの順に移動して、認証に使用するサードパーティの ID プロバイダを追加します。

      3. [ディレクトリ検索属性] フィールドで、ユーザー名に使用する LDAP ディレクトリ属性を指定します。属性が表示されない場合は、[カスタム] を選択して、属性名を入力します。たとえば、cn にように入力します。
      サーバの場所 LDAP ディレクトリ サーバのホスト名とポート番号を入力します。サーバ ホストには、完全修飾ドメイン名または IP アドレスのいずれかを指定することができます。たとえば、myLDAPserver.example.com または 100.00.00.0 のように入力します。

      ロード バランサの背後にサーバのクラスタがある場合は、代わりにロード バランサの情報を入力します。

      LDAP 構成 VMware Identity Managerが LDAP ディレクトリのクエリに使用することができる LDAP 検索フィルタおよび属性を指定します。デフォルト値はコア LDAP スキーマに基づいて提供されます。

      [LDAP クエリ]

      • [グループの取得]:グループ オブジェクトを取得するための検索フィルタ。

        例:(objectClass=group)

      • [バインド ユーザーの取得]:バインド ユーザー オブジェクト、つまりディレクトリにバインドすることができるユーザーを取得するための検索フィルタ。

        例:(objectClass=person)

      • [ユーザーの取得]:同期するユーザーを取得するための検索フィルタ。

        例:(&(objectClass=user)(objectCategory=person))

      [属性]

      • [メンバーシップ]:グループのメンバーを定義するために LDAP ディレクトリで使用される属性。

        例:member

      • [オブジェクト UUID]:ユーザーまたはグループの UUID を定義するために LDAP ディレクトリで使用される属性。

        例:entryUUID

      • [識別名]:LDAP ディレクトリでユーザーまたはグループの識別名に使用される属性。

        例:entryDN
      証明書 LDAP ディレクトリが SSL 経由のアクセスを必要とする場合は、[このディレクトリには SSL を使用するすべての接続が必要です] を選択し、LDAP ディレクトリ サーバのルート CA SSL 証明書をコピーして貼り付けます。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。
      バインド ユーザーの詳細 [ベース DN]:検索を開始する DN を入力します。例:cn=users,dc=example,dc=com
      [バインド DN]:LDAP ディレクトリにバインドするために使用するユーザー名を入力します。
      注: 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。

      [バインド DN パスワード]:バインド DN ユーザーのパスワードを入力します。

    2. LDAP ディレクトリ サーバへの接続をテストするには、[接続をテスト] をクリックします。
      接続に成功しない場合は、入力した情報を確認して、適切な変更を行います。
    3. [保存して次へ] をクリックします。
      ドメインをリストしたページが表示されます。
  15. LDAP ディレクトリの場合、ドメインはリストされるが変更することはできません。
    LDAP 経由の Active Directory の場合、ドメインはリストされるが変更することはできません。

    [Active Directory(統合 Windows 認証)] で、この Active Directory 接続に関連付ける必要があるドメインを選択します。

    注: ディレクトリが作成された後に信頼するドメインを追加する場合、サービスは新規に追加されたドメインを自動的に検出しません。サービスによるドメインの検出を有効にするには、 コネクタをドメインから切り離してから、ドメインに再度参加させる必要があります。 コネクタがドメインに再度参加すると、信頼するドメインがリストに表示されます。

    [次へ] をクリックします。

  16. VMware Identity Manager 属性名が適切な Active Directory または LDAP 属性にマッピングされていることを確認し、必要に応じて変更します。
    重要: LDAP ディレクトリを統合している場合は、 [domain] 属性のマッピングを指定する必要があります。
  17. [次へ] をクリックします。
  18. Active Directory または LDAP ディレクトリから VMware Identity Manager ディレクトリに同期するグループを選択します。
    オプション 説明
    グループ DN を指定 グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。
    1. [+] をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。
      重要: 入力したベース DN の配下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
    2. [グループの検索] をクリックします。

      [同期するグループ] 列には、DN に含まれるグループの数が表示されます。

    3. DN に含まれるすべてのグループを選択する場合は [すべてを選択] をクリックします。グループを個別に選択する場合は [選択] をクリックし、同期対象となる特定のグループを選択します。
      注: LDAP ディレクトリに同じ名前のグループが複数ある場合は、 VMware Identity Manager でグループに一意の名前を指定する必要があります。名前は、グループを選択しているときに変更できます。
    注: グループを同期する際、Active Directory のプライマリ グループである Domain Users に属していないユーザーの同期は行われません。
    ネストされたグループ メンバーを同期

    [ネストされたグループ メンバーを同期] オプションは、デフォルトで有効になっています。このオプションが有効になっているときは、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。VMware Identity Manager ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。

    [ネストされたグループ メンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory 構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するようにしてください。

  19. [次へ] をクリックします。
  20. 必要に応じて、同期するユーザーを追加で指定します。
    グループのメンバーは、グループにアプリケーションの使用資格が付与されるか、グループがアクセス ポリシー ルールに追加されるまでディレクトリに同期されないため、グループ資格が構成される前に認証を必要とするすべてのユーザーを追加します。
    1. [+] をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。
      重要: 入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
    2. (オプション)ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。
      フィルタリングの基準となるユーザー属性、クエリ ルールおよび値を選択します。
  21. [次へ] をクリックします。
  22. ディレクトリに同期するユーザーとグループの数や、同期のスケジュールを確認します。

    ユーザーとグループや、同期の頻度に変更を加えるには、[編集] リンクをクリックします。

  23. [ディレクトリを同期] をクリックして、ディレクトリ同期を開始します。

結果

注: ネットワーク エラーが発生し、逆引き DNS を使用してホスト名を一意に解決できない場合は、構成プロセスが停止します。ネットワークの問題を解決して仮想アプライアンスを再起動する必要があります。その後、展開プロセスを続行できます。新しいネットワーク設定は、仮想アプライアンスを再起動しないと使用できません。

次のタスク

ロード バランサや高可用性構成のセットアップの詳細については、VMware Identity Manager アプライアンスの詳細構成を参照してください。