ID ソースで、vCenter Single Sign-On に 1 つ以上のドメインを添付できます。ドメインは vCenter Single Sign-On サーバがユーザー認証に使用できるユーザーまたはグループのリポジトリです。

アイデンティティ ソースはユーザーとグループ データのコレクションです。ユーザーおよびグループのデータは、Active Directory、OpenLDAP、またはローカルで vCenter Single Sign-On がインストールされたマシンのオペレーティング システムに格納されます。インストール時、vCenter Single Sign-On のすべてのインスタンスに Local OS の ID ソース vpshere.local があります。この ID ソースは vCenter Single Sign-On の内部のものです。

vCenter Single Sign-On 管理者ユーザーは vCenter Single Sign-On ユーザーおよびグループを作成できます。

アイデンティティ ソースのタイプ

バージョン 5.1 より前の vCenter Server バージョンは、Active Directory およびローカル オペレーティング システムのユーザーをユーザー リポジトリとしてサポートしていました。このため、ローカル オペレーティング システムのユーザーは常に vCenter Server システムから認証可能でした。vCenter Server バージョン 5.1 およびバージョン 5.5 では、認証に vCenter Single Sign-On を使用します。vCenter Single Sign-On 5.1 がサポートしているアイデンティティ ソースのリストについては、vSphere 5.1 のドキュメントを参照してください。vCenter Single Sign-On 5.5 は以下のタイプのユーザー リポジトリをアイデンティティ ソースとしてサポートしていますが、デフォルトでサポートするアイデンティティ ソースは 1 つだけです。

  • Active Directory バージョン 2003 以降。vCenter Single Sign-On では単一の Active Directory ドメインをアイデンティティ ソースとして指定できます。ドメインに子ドメインを持たせたり、フォレスト ルート ドメインにすることができます。vSphere Web Client では、Active Directory(統合 Windows 認証) として表示されます。

  • LDAP を用いた Active Directory。vCenter Single Sign-On は LDAP を用いた Active Directory の複数のアイデンティティ ソースをサポートします。このアイデンティティ ソース タイプは、vSphere 5.1 に含まれる vCenter Single Sign-On サービスとの互換性を維持するためのものです。vSphere Web Client に LDAP サーバとしての Active Directory として表示されます。

  • OpenLDAP バージョン 2.4 以降。vCenter Single Sign-On は複数の OpenLDAP アイデンティティ ソースをサポートします。vSphere Web Client では、OpenLDAP として表示されます。

  • ローカル オペレーティング システム ユーザー。ローカル オペレーティング システム ユーザーは、vCenter Single Sign-On サーバが実行されているオペレーティング システムのローカル ユーザーです。ローカル オペレーティング システムのアイデンティティ ソースは、vCenter Server のシンプル インストールと、スタンドアロン vCenter Single Sign-On デプロイを使用したカスタム インストールでのみ使用できます。ローカル オペレーティング システムのアイデンティティ ソースは、複数の vCenter Single Sign-On インスタンスを使用したデプロイでは使用できません。1 つのローカル オペレーティング システム アイデンティティ ソースのみが許可されます。vSphere Web Client では、localos として表示されます。

  • vCenter Single Sign-On のシステム ユーザー。vCenter Single Sign-On のインストール時に、vsphere.local という名前のただ 1 つのシステム アイデンティティ ソースが作成されます。vSphere Web Client では、vsphere.local として表示されます。

注:

いかなる場合でも、デフォルトのドメインは 1 つのみ存在します。ユーザーがデフォルト以外のドメインからログインした場合、このユーザーが正常に認証されるためにはドメイン名 (DOMAIN\user) を追加する必要があります。

vCenter Single Sign-On のアイデンティティ ソースは vCenter Single Sign-On 管理者ユーザーが管理します。

アイデンティティ ソースは vCenter Single Sign-On サーバ インスタンスに追加できます。リモートのアイデンティティ ソースは、Active Directory および OpenLDAP のサーバ実装に限定されます。

vCenter Single Sign-On の詳細については、『vSphere セキュリティ』を参照してください。

ログイン動作

ユーザーが vSphere Web Client から vCenter Server システムにログインする場合、ログイン動作はユーザーがデフォルト ドメインに所属しているかどうかによって異なります。

  • デフォルト ドメインに所属しているユーザーはユーザー名とパスワードでログインできます。

  • vCenter Single Sign-On にアイデンティティ ソースとして追加されているがデフォルト ドメイン以外のドメインに所属しているユーザーは、vCenter Server にログインできますが、次のいずれかの方法でドメインを指定する必要があります。

    • ドメイン名を前に含める。たとえば MYDOMAIN\user1

    • ドメインを含める。たとえば、user1@mydomain.com

  • vCenter Single Sign-On アイデンティティ ソースでないドメインに所属しているユーザーは vCenter Server にはログインできません。vCenter Single Sign-On に追加したドメインがドメイン階層の一部である場合、Active Directory は階層内の他のドメインのユーザーが認証されているかどうかを判断します。

vCenter Single Sign-On は、異なる ID ソースからネストされたグループの権限は伝達しません。たとえば、Domain Administrators グループを Local Administrators グループに追加した場合、Local OS と Active Directory は別の ID ソースであるため権限は伝達されません。