vRealize Network Insight では、LDAP ユーザーのアクセスを設定できます。

vRealize Network Insight は、次の 2 種類のユーザーをサポートします。
  • vRealize Network Insight プラットフォーム仮想マシンで作成されたユーザー
  • LDAP ユーザー

LDAP ユーザーが vRealize Network Insight にログインできるようにするには、次のように vRealize Network Insight プラットフォームで LDAP サービスを設定します。

LDAP ベースのユーザー認証を有効にするには

  1. [設定] 画面で、[ID およびアクセス権の管理] > [LDAP] の順にクリックします。
  2. [設定] をクリックします。
  3. [LDAP の設定] 画面で、対応するボックスに、適切なドメイン、LDAP ホスト URL、および LDAP 認証情報をそれぞれ入力します。個別のフィールドの説明については、次の表を参照してください。
    表 1.
    フィールド 説明
    ドメイン 通常、これはユーザー メール アドレスで「@」記号の後にある最後の部分です。例:johndoe@example.com としてログインしているユーザーの場合、このフィールドは example.com です。
    LDAP ホストの URL 複数の LDAP ホストの URL をカンマで区切って指定できます。
    ユーザー名 指定された設定を使用してログインするために必要な権限を持つユーザーです。
    パスワード ユーザーのパスワードです。
    グループを設定し、そのグループのメンバーにロールを提供できます。この機能を有効にするには、 [グループ ベースのアクセス コントロール] を選択します。
    1. [ベース識別名 (DN)] でベース識別名 (DN) を入力します。サーバはここからユーザーの検索を開始します。
    2. [グループ識別名 (DN)] でグループを追加します。
    3. グループごとに、ドロップダウン メニューからユーザーのロールをメンバーまたは管理者として選択します。特定のグループに対して管理者ロールを選択すると、そのグループのすべてのメンバーに管理者権限が付与されます。同様に、特定のグループに対してメンバー ロールを選択すると、そのグループのすべてのメンバーにメンバー権限が付与されます。このオプションが選択されていない場合、権限の割り当てにはグループ設定が使用されます。ただし、追加したグループに属していないその他の有効な LDAP ユーザーは、製品にログインできます。
    4. [さらに追加] をクリックして、包含リストにグループを追加します。

    追加した LDAP グループのユーザーのみにアクセスを許可する(直接または継承したメンバーシップ)には、[上記グループのメンバーのみにアクセスを制限] チェック ボックスを選択します。

  4. [送信] をクリックして LDAP を設定します。

LDAP の設定が正常に完了すると、ログイン画面に新しいドロップダウン メニューが表示されます。ここで、ユーザーはローカルでログインするか LDAP 認証情報を使用するかを選択できます。

LDAP 認証情報は、どこにも保存されません。

[グループと継承に関する考慮事項]

  • グループ識別名 (DN) の下に追加したグループについては、それらの子グループも LDAP 認証情報を使用してログインできます。
  • ロールの割り当てでは、継承は考慮されません。たとえば、あるユーザーを管理者にする必要がある場合、そのユーザーが直接的に属するグループに管理者ロールを割り当てる必要があります。子グループに属しているユーザーには、管理者ロールは付与されません。
  • あるグループに管理者ロールを割り当て、そのグループ内の特定のユーザーを管理者ロールから除外する場合は、次の手順を実行します。
    1. [設定] 画面で、[ユーザー管理] をクリックします。
    2. [LDAP ユーザー] タブでは、このユーザーの割り当て済みロールを確認できるほか、そのロールがグループから継承されたことも確認できます。
    3. 編集アイコンをクリックします。[ロール] で、そのユーザーのドロップダウン メニューから [メンバー] を選択します。この方法で、ユーザーにロールを直接割り当てます。
    4. [変更を保存] をクリックします。
    5. 確認のためにパスワードを入力します。[認定] をクリックします。
  • ユーザーが属するグループからユーザーがロールを継承するとします。その場合は、次の手順を実行します。
    1. [設定] 画面で、[ユーザー管理] をクリックします。
    2. [LDAP ユーザー] タブでは、このユーザーの割り当て済みロールを確認できるほか、そのロールがユーザーに直接割り当てられていることも確認できます。
    3. 削除アイコンをクリックして、その LDAP ユーザーを削除します。
    4. この特定のユーザーは、ログイン時にデフォルトで親グループからロールを継承します。
  • ユーザーがログインしている間に、ユーザーが属するグループのロールが変更された場合、新しいロールは、ユーザーがログアウトした後にのみ有効になります。
  • アップグレード前にログインしていた LDAP ユーザーが何人かいたとします。アップグレード後、これらの LDAP ユーザーは直接ロールを持ち、グループからは継承しません。
  • ユーザーが複数のグループに属しているとします。たとえば、あるユーザーがグループ A、グループ B、およびグループ C に属しています。グループ A に管理者ロールが割り当てられており、グループ B とグループ C にはメンバー ロールが割り当てられている場合、そのユーザーは管理者ロールを継承します。