ユーザーが vSphere コンポーネントにログインするときには、認証に vCenter Single Sign-On が使用されます。ユーザーは、vCenter Single Sign-On によって認証され、vSphere オブジェクトを表示および管理するための vCenter Server 権限を付与される必要があります。

ユーザーが vSphere Web Client にログインすると、まず vCenter Single Sign-On によって認証されます。認証済みユーザーの場合、vCenter Server は権限を確認します。ユーザーが表示できる対象、および実行できる操作は、vCenter ServerESXi での vSphere 権限設定、および環境内のアプリケーションによって決まります。vCenter Server 管理者は、vCenter Single Sign-On ではなく、vSphere Web Client管理 > 許可インターフェイスでこれらの権限を割り当てます。vSphere のユーザーと権限 およびvCenter ユーザー管理タスク を参照してください。

vCenter Single Sign-On ユーザーと vCenter Server ユーザー

vSphere Web Client を使用することにより、ユーザーは vSphere Web Client のログイン ページで認証情報を入力して vCenter Single Sign-On に対して認証を行います。vCenter Server への接続後、認証済みユーザーは、vCenter Server インスタンスのすべて、または権限が与えられている他の vSphere サービスを表示することができます。それ以上の認証は不要です。認証済みユーザーがオブジェクトで実行できるアクションは、それらのオブジェクトに対するユーザーの vCenter Server 権限によって異なります。vSphere のユーザーと権限 およびvCenter ユーザー管理タスク を参照してください。

インストール後、administrator@vsphere.local ユーザーは、vCenter Single Sign-On と vCenter Server の両方に対する管理者アクセス権を持ちます。そのユーザーは、次に vCenter Single Sign-On ドメイン (vsphere.local) で、ID ソースを追加してデフォルトの ID ソースを設定し、ユーザーとグループを管理できます。

ほとんどの vCenter Single Sign-On 管理タスクでは vCenter Single Sign-On 管理者認証情報が必要ですが、vCenter Single Sign-On に対して認証できるすべてのユーザーは、有効期限が切れていても自分のパスワードをリセットすることができます。期限切れの vCenter Single Sign-On パスワードのリセット を参照してください。

vCenter Single Sign-On 管理者ユーザー

vCenter Single Sign-On 管理インターフェイスには、vSphere Web Client からアクセスできます。

vCenter Single Sign-On を構成し、vCenter Single Sign-On ユーザーとグループを管理するには、administrator@vsphere.local ユーザーまたは vCenter Single Sign-On 管理者権限を持つユーザーが vSphere Web Client にログインする必要があります。認証時、そのユーザーは vCenter Single Sign-On 管理インターフェイスにアクセスして、 ID ソースとデフォルトのドメインを管理し、パスワード ポリシーを指定し、他の管理タスクを実行することができます。vCenter Single Sign-On の構成 を参照してください。

注:

administrator@vsphere.local ユーザーの名前は変更できません。セキュリティを高めるには、vsphere.local ドメインに追加ユーザーを作成し、管理者権限を割り当てることを検討します。その後、administrator@vsphere.local の使用を停止できます。

別のバージョンの vSphere での認証

バージョン 5.0 以前の vCenter Server システムに接続している場合、vCenter Server はそのユーザーを Active Directory ドメインまたはローカル オペレーティング システムのユーザーのリストと突き合わせて、認証を行います。vCenter Server 以降では、vCenter Single Sign-On を通じてユーザー認証を行います。

注:

vSphere Web Client を使用してバージョン 5.0 以前の vCenter Server を管理することはできません。vCenter Server をバージョン 5.1 以降にアップグレードしてください。

ESXi ユーザー

ESXi 5.1 は vCenter Single Sign-On に統合されていません。ESXi ホストを Active Directory ドメインに明示的に追加します。Active Directory ドメインへの ESXi ホストの追加 を参照してください。

vSphere Client、vCLI、または PowerCLI で、ローカル ESXi ユーザーを作成することはできます。 vCenter ServerESXi ローカルのユーザーを認識せず、ESXivCenter Server ユーザーを認識しません。

ログイン動作

ユーザーが vSphere Web Client から vCenter Server システムにログインする場合、ログイン動作はユーザーがデフォルト ドメインに所属しているかどうかによって異なります。

  • デフォルト ドメインに所属しているユーザーはユーザー名とパスワードでログインできます。

  • vCenter Single Sign-On にアイデンティティ ソースとして追加されているがデフォルト ドメイン以外のドメインに所属しているユーザーは、vCenter Server にログインできますが、次のいずれかの方法でドメインを指定する必要があります。

    • ドメイン名を前に含める。たとえば MYDOMAIN\user1

    • ドメインを含める。たとえば、user1@mydomain.com

  • vCenter Single Sign-On アイデンティティ ソースでないドメインに所属しているユーザーは vCenter Server にはログインできません。vCenter Single Sign-On に追加したドメインがドメイン階層の一部である場合、Active Directory は階層内の他のドメインのユーザーが認証されているかどうかを判断します。