vSphere Web Client は、信頼される SAML 2.0 サービス プロバイダ (SP) として自動的に vCenter Single Sign-On に登録されます。他の信頼されるサービス プロバイダを、vCenter Single Sign-On が SAML ID プロバイダ (IDP) として動作する ID フェデレーションに追加することができます。サービス プロバイダは SAML 2.0 プロトコルに適合する必要があります。フェデレーションを設定した後、ユーザーが vCenter Single Sign-On の認証を受けることができれば、サービス プロバイダはそのユーザーにアクセス権を付与します。

注:

vCenter Single Sign-On を別の SP に対する IDP にすることができます。vCenter Single Sign-On を別の IDP を使用する SP にすることはできません。

登録された SAML サービス プロバイダは、すでにライブ セッション中のユーザーに対してアクセス権を付与することができます。これは ID プロバイダにログインされているユーザーのことです。たとえば、vRealize Automation 7.0 以降では ID プロバイダとして vCenter Single Sign-On をサポートしています。vCenter Single Sign-On および vRealize Automation からフェデレーションを設定することができます。その後、vRealize Automation にログインするときに vCenter Single Sign-On は認証を実行することができます。

ID フェデレーションに SAML サービス プロバイダを参加させるには、SAML メタデータを SP と IDP の間で交換することで信頼関係を確立する必要があります。

vCenter Single Sign-On と、vCenter Single Sign-On を使用するサービスの両方に統合タスクを実行する必要があります。

  1. IDP メタデータをファイルにエクスポートし、SP にインポートします。

  2. SP メタデータをエクスポートし、IDP にインポートします。

IDP メタデータのエクスポート、および SP からのメタデータのインポートには、vCenter Single Sign-On との vSphere Web Client インターフェイスを使用することができます。vRealize Automation を SP として使用している場合は、SP メタデータのエクスポートおよび IDP メタデータのインポートの詳細について vRealize Automation のドキュメントを参照してください。

注:

サービスが SAML 2.0 標準を完全にサポートしている必要があります。そうでない場合、連携に失敗します。