ユーザーが vSphere コンポーネントにログインするとき、または、vCenter Server のソリューション ユーザーが別の vCenter Server サービスにアクセスするときに、vCenter Single Sign-On は認証を実施します。ユーザーは、vCenter Single Sign-On によって認証され、vSphere オブジェクトを操作するために必要な権限を持っている必要があります。

vCenter Single Sign-On では、ソリューション ユーザーとその他のユーザーの両方が認証されます。

  • ソリューション ユーザーは、vSphere 環境内の一連のサービスを表します。インストールの際、VMCA はデフォルトで、各ソリューション ユーザーに証明書を割り当てます。ソリューション ユーザーは、その証明書を使用して vCenter Single Sign-On への認証を行います。vCenter Single Sign-On は、ソリューション ユーザーに SAML トークンを提供し、その後、ソリューション ユーザーは、環境内の他のサービスと連携することが可能になります。

  • 他のユーザーが、たとえば、vSphere Web Client から環境内にログインしてきた場合、vCenter Single Sign-On によって、ユーザー名とパスワードが求められます。その認証情報を持つユーザーが対応するアイデンティティ ソース内に見つかった場合、vCenter Single Sign-On はそのユーザーに SAML トークンを割り当てます。これで、このユーザーは、再び認証を求められることなく、環境内の他のサービスにアクセスできます。

    ユーザーが表示できるオブジェクトと実行できる内容は、通常、vCenter Server の権限設定で決まります。vCenter Server 管理者は、vCenter Single Sign-On からではなく vSphere Web Client権限 インターフェイスから権限を割り当てます。『vSphere セキュリティ』ドキュメントを参照してください。

vCenter Single Sign-On ユーザーと vCenter Server ユーザー

vSphere Web Client を使用することにより、ユーザーは vSphere Web Client のログイン ページで認証情報を入力して vCenter Single Sign-On に対して認証を行います。vCenter Server への接続後、認証済みユーザーは、ロールによって権限が与えられているすべての vCenter Server インスタンスまたは他の vSphere オブジェクトを表示することができます。それ以上の認証は不要です。

インストール後に、vCenter Single Sign-On ドメインの管理者(デフォルトは administrator@vsphere.local)は、vCenter Single Sign-OnvCenter Server の両方の管理者権限を持ちます。そのユーザーは、次に vCenter Single Sign-On ドメイン(デフォルトは vsphere.local)で、アイデンティティ ソースを追加してデフォルトのアイデンティティ ソースを設定し、ユーザーとグループを管理できます。

vCenter Single Sign-On への認証を行うすべてのユーザーは、パスワードの有効期限が切れていても、パスワードを知っている限り、自分のパスワードをリセットできます。vCenter Single Sign-On パスワードの変更を参照してください。パスワードを忘れたユーザーのパスワードは、vCenter Single Sign-On の管理者のみがリセットできます。

vCenter Single Sign-On 管理者ユーザー

vCenter Single Sign-On 管理インターフェイスは、vSphere Web ClientPlatform Services Controller Web インターフェイスからアクセスできます。

vCenter Single Sign-On を構成し、vCenter Single Sign-On ユーザーとグループを管理するには、administrator@vsphere.local ユーザーまたは vCenter Single Sign-On 管理者グループのユーザーが vSphere Web Client にログインする必要があります。認証時、そのユーザーは vSphere Web Client から vCenter Single Sign-On 管理インターフェイスにアクセスして、アイデンティティ ソースとデフォルトのドメインを管理し、パスワード ポリシーを指定し、他の管理タスクを実行することができます。vCenter Single Sign-On アイデンティティ ソースの構成を参照してください。

注:

vCenter Single Sign-On 管理者ユーザー(デフォルトは administrator@vsphere.local。インストール中に別のドメインを指定した場合は administrator@mydomain)の名前は変更できません。セキュリティを高めるには、vCenter Single Sign-On ドメインに追加で名前付きユーザーを作成し、管理者権限を割り当てることを検討します。その後、管理者アカウントを使用して停止することができます。

ESXi ユーザー

スタンドアロンの ESXi ホストには vCenter Single Sign-OnPlatform Services Controller は組み込まれません。ESXi ホストの Active Directory への追加については、vSphere セキュリティ を参照してください。

VMware Host Client、vCLI、または PowerCLI を使用して管理されている ESXi ホストにローカルの ESXi ユーザーを作成する場合。vCenter Server はこれらのユーザーを認識しません。そのため、ローカル ユーザーの作成は、特に同じユーザー名を使用する場合に混乱する原因となります。vCenter Single Sign-On で認証可能なユーザーは、ESXi ホスト オブジェクトの対応する権限がある場合、ESXi ホストを確認および管理できます。

注:

可能な場合は、vCenter Server を介して ESXi ホストの権限を管理します。

vCenter Server コンポーネントへのログイン方法

vSphere Web Client または Platform Services Controller Web インターフェイスに接続してログインできます。

ユーザーが vSphere Web Client から vCenter Server システムにログインする場合、ログイン動作はユーザーがデフォルトのアイデンティティ ソースとして設定されているドメインに所属しているかどうかによって異なります。

  • デフォルト ドメインに所属しているユーザーはユーザー名とパスワードでログインできます。

  • vCenter Single Sign-On にアイデンティティ ソースとして追加されているがデフォルト ドメイン以外のドメインに所属しているユーザーは、vCenter Server にログインできますが、次のいずれかの方法でドメインを指定する必要があります。

    • ドメイン名を前に含める。たとえば MYDOMAIN\user1

    • ドメインを含める。たとえば、user1@mydomain.com

  • vCenter Single Sign-On アイデンティティ ソースでないドメインに所属しているユーザーは vCenter Server にはログインできません。vCenter Single Sign-On に追加したドメインがドメイン階層の一部である場合、Active Directory は階層内の他のドメインのユーザーが認証されているかどうかを判断します。

環境に Active Directory 階層が含まれる場合は、サポートされる設定とサポートされない設定の詳細を、VMware ナレッジベースの記事 KB 2064250で確認してください。

注:

vSphere 6.0 Update 2 以降、2 要素認証がサポートされています。vCenter Server 2 要素認証を参照してください。