ユーザーは、vCenter Single Sign-On アイデンティティ ソースとして追加されたドメインに属している場合のみ vCenter Server にログインできます。vCenter Single Sign-On 管理者ユーザーは、vSphere Web Client インターフェイスまたは Platform Services Controller インターフェイスで、アイデンティティ ソースを追加できます。

このタスクについて

アイデンティティ ソースとして、ネイティブの Active Directory (統合 Windows 認証) ドメインまたは OpenLDAP ディレクトリ サービスを使用できます。後方互換を維持するため、LDAP サーバとして Active Directory を利用できます。vCenter Single Sign-On による vCenter Server のアイデンティティ ソースを参照してください。

インストールの直後に、次のデフォルトのアイデンティティ ソースとユーザーが利用できるようになります。

localos

すべてのローカル オペレーティング システム ユーザー。アップグレードする場合、すでに認証が可能な localos ユーザーは引き続き認証することができます。組み込みの Platform Services Controller を使用している環境で localos アイデンティティ ソースを使用しても意味がありません。

vsphere.local

vCenter Single Sign-On の内部ユーザーを含みます。

前提条件

Active Directory アイデンティティ ソースを追加する場合、vCenter Server が実行されている vCenter Server Appliance または Windows マシンを Active Directory ドメインに追加する必要があります。Active Directory ドメインへの Platform Services Controller アプライアンスの追加を参照してください。

手順

  1. Web ブラウザから vSphere Web Client または Platform Services Controller に接続します。

    オプション

    説明

    vSphere Web Client

    https://vc_hostname_or_IP/vsphere-client

    Platform Services Controller

    https://psc_hostname_or_IP/psc

    組み込みデプロイでは、Platform Services Controller のホスト名または IP アドレスは vCenter Server のホスト名または IP アドレスと同じです。

  2. administrator@vsphere.local または vCenter Single Sign-On 管理者グループの別のメンバーのユーザー名とパスワードを指定します。

    インストール時に異なるドメインを指定した場合は、administrator@mydomain としてログインします。

  3. vCenter Single Sign-On の設定を行うユーザー インターフェイスに移動します。

    オプション

    説明

    vSphere Web Client

    1. ホーム メニューから 管理 を選択します。

    2. シングル サインオン で、構成 をクリックします。

    Platform Services Controller

    シングル サインオン で、構成 をクリックします。

  4. アイデンティティ ソース タブで、アイデンティティ ソースの追加 アイコンをクリックします。
  5. アイデンティティ ソースのタイプを選択し、アイデンティティ ソースの設定を入力します。

    オプション

    説明

    Active Directory (統合 Windows 認証)

    ネイティブの Active Directory 実装にこのオプションを使用します。このオプションを使用する場合は、vCenter Single Sign-On サービスが稼働しているマシンが Active Directory ドメインに属している必要があります。

    Active Directory アイデンティティ ソースの設定 を参照してください。

    LDAP サーバとしての Active Directory

    このオプションは後方互換性用に使用できます。ドメイン コントローラと他の情報を指定する必要があります。Active Directory LDAP Server および OpenLDAP Server ID ソースの設定 を参照してください。

    OpenLDAP

    OpenLDAP アイデンティティ ソースにこのオプションを使用します。Active Directory LDAP Server および OpenLDAP Server ID ソースの設定 を参照してください。

    LocalOS

    アイデンティティ ソースとしてローカル オペレーティング システムを追加する場合に、このオプションを使用します。ローカル オペレーティング システムの名前の入力のみが求められます。このオプションを選択すると、指定されたマシン上のすべてのユーザーは、それらのユーザーが別のドメインに含まれていなくても、vCenter Single Sign-On で認識されるようになります。

    注:

    ユーザー アカウントがロックされているか、無効になっていると、Active Directory ドメイン内の認証およびグループとユーザーの検索が失敗します。ユーザー アカウントは、ユーザーとグループの OU への読み取り専用アクセス権を持ち、ユーザーとグループの属性を読み取ることができる必要があります。Active Directory はデフォルトでこのアクセスを提供します。セキュリティの向上のために、特別なサービス ユーザーを使用します。

  6. LDAP サーバとしての Active Directory または OpenLDAP アイデンティティ ソースを設定した場合は、テスト接続 をクリックして、アイデンティティ ソースに接続できることを確認します。
  7. OK をクリックします。

次のタスク

アイデンティティ ソースが追加されると、すべてのユーザーは認証可能になりますが、アクセスなしロールが付与されます。vCenter Server権限の変更権限を持つユーザーは、vCenter Server にログインしてオブジェクトの表示と管理を実行できる権限を、ユーザーまたはユーザー グループに割り当てることができます。『vSphere セキュリティ』ドキュメントを参照してください。