別のサービスプロバイダの ID プロバイダとして vCenter Single Sign-On を使用する

vSphere Web Client は、信頼される SAML 2.0 サービスプロバイダ (SP) として自動的に vCenter Single Sign-On に登録されます。他の信頼されるサービスプロバイダを、vCenter Single Sign-On が SAML ID プロバイダ (IDP) として動作する ID フェデレーションに追加することができます。サービスプロバイダは SAML 2.0 プロトコルに適合する必要があります。フェデレーションを設定した後、ユーザーが vCenter Single Sign-On の認証を受けることができれば、サービスプロバイダはそのユーザーにアクセス権を付与します。

注： vCenter Single Sign-On を別の SP に対する IDP にすることができます。 vCenter Single Sign-On を別の IDP を使用する SP にすることはできません。

登録された SAML サービスプロバイダは、すでにライブセッション中のユーザーに対してアクセス権を付与することができます。これは ID プロバイダにログインされているユーザーのことです。たとえば、vRealize Automation 7.0 以降では ID プロバイダとして vCenter Single Sign-On をサポートしています。vCenter Single Sign-On および vRealize Automation からフェデレーションを設定することができます。その後、vRealize Automation にログインするときに vCenter Single Sign-On は認証を実行することができます。

ID フェデレーションに SAML サービスプロバイダを参加させるには、SAML メタデータを SP と IDP の間で交換することで信頼関係を確立する必要があります。

vCenter Single Sign-On と、 vCenter Single Sign-On を使用するサービスの両方に統合タスクを実行する必要があります。

IDP メタデータをファイルにエクスポートし、SP にインポートします。
SP メタデータをエクスポートし、IDP にインポートします。

IDP メタデータのエクスポート、および SP からのメタデータのインポートには、vCenter Single Sign-On との vSphere Web Client インターフェイスを使用することができます。vRealize Automation を SP として使用している場合は、SP メタデータのエクスポートおよび IDP メタデータのインポートの詳細について vRealize Automation のドキュメントを参照してください。

注：サービスが SAML 2.0 標準を完全にサポートしている必要があります。そうでない場合、連携に失敗します。