ユーザーが vSphere コンポーネントにログインするとき、または、vCenter Serverのソリューション ユーザーが別の vCenter Server サービスにアクセスするときに、vCenter Single Sign-On は認証を実施します。ユーザーは、vCenter Single Sign-Onによって認証され、vSphere オブジェクトを操作するために必要な権限を持っている必要があります。

vCenter Single Sign-Onでは、ソリューション ユーザーとその他のユーザーの両方が認証されます。
  • ソリューション ユーザーは、vSphere 環境内の一連のサービスを表します。インストールの際、VMCA はデフォルトで、各ソリューション ユーザーに証明書を割り当てます。ソリューション ユーザーは、その証明書を使用して vCenter Single Sign-Onへの認証を行います。vCenter Single Sign-On は、ソリューション ユーザーに SAML トークンを提供し、その後、ソリューション ユーザーは、環境内の他のサービスと連携することが可能になります。
  • 他のユーザーが、たとえば、vSphere Clientから環境内にログインしてきた場合、vCenter Single Sign-On によって、ユーザー名とパスワードが求められます。その認証情報を持つユーザーが対応する ID ソース内に見つかった場合、vCenter Single Sign-Onはそのユーザーに SAML トークンを割り当てます。これで、このユーザーは、再び認証を求められることなく、環境内の他のサービスにアクセスできます。

    ユーザーが表示できるオブジェクトと実行できる内容は、通常、vCenter Serverの権限設定で決まります。vCenter Server管理者は、vCenter Single Sign-On からではなく、vSphere Web Client または vSphere Client[権限] インターフェイスから権限を割り当てます。『vSphere のセキュリティ』ドキュメントを参照してください。

vCenter Single Sign-Onユーザーと vCenter Server ユーザー

ユーザーはログイン ページで認証情報を入力して、vCenter Single Sign-Onに対して認証を行います。vCenter Serverへの接続後、認証済みユーザーは、ロールによって権限が与えられているすべてのvCenter Server インスタンスまたは他の vSphere オブジェクトを表示することができます。それ以上の認証は不要です。

インストール後に、vCenter Single Sign-Onドメインの管理者(デフォルトは [email protected])は、vCenter Single Sign-OnvCenter Server の両方の管理者権限を持ちます。そのユーザーは次に、vCenter Single Sign-Onドメインで ID ソースを追加してデフォルトの ID ソースを設定し、ユーザーとグループを管理できます。

vCenter Single Sign-Onへの認証を行うすべてのユーザーは、パスワードの期限が切れていても、パスワードを知っている限り、自分のパスワードをリセットできます。vCenter Single Sign-Onパスワードの変更を参照してください。パスワードを忘れたユーザーのパスワードは、vCenter Single Sign-Onの管理者のみがリセットできます。

注: vSphere Clientから Software-Defined Data Center (SDDC) のパスワードを変更すると、新しいパスワードとデフォルトの vCenter Server の認証情報ページに表示されるパスワードは同期されません。ページでは、デフォルトの認証情報のみが表示されます。認証情報を変更した場合、新しいパスワードの保管と管理はユーザーの責任となります。テクニカル サポートに連絡し、パスワードの変更を要求します。

vCenter Single Sign-On管理者ユーザー

vCenter Single Sign-On管理インターフェイスには、vSphere Client または vSphere Web Client のいずれかからアクセスできます。

vCenter Single Sign-Onを設定し、 vCenter Single Sign-On ユーザーとグループを管理するには、[email protected] ユーザーまたは vCenter Single Sign-On 管理者グループのユーザーが vSphere Client にログインする必要があります。認証時、そのユーザーは vSphere Clientから vCenter Single Sign-On 管理インターフェイスにアクセスして、ID ソースとデフォルトのドメインを管理し、パスワード ポリシーを指定し、他の管理タスクを実行することができます。
注: vCenter Single Sign-On管理者ユーザー(デフォルトは [email protected]。インストール中に別のドメインを指定した場合は administrator@ mydomain)の名前は変更できません。セキュリティを高めるには、 vCenter Single Sign-Onドメインに追加で名前付きユーザーを作成し、管理者権限を割り当てることを検討します。その後、管理者アカウントを使用して停止することができます。

ESXi ユーザー

スタンドアローンの ESXiホストには vCenter Single Sign-OnPlatform Services Controller は組み込まれません。ESXiホストの Active Directory への追加については、vSphere のセキュリティ を参照してください。

VMware Host Client、vCLI、PowerCLI を使用して管理対象の ESXi ホストの ローカル ESXi ユーザーを作成しても、 vCenter Server はこれらのユーザーを認識しません。そのため、ローカル ユーザーの作成は、特に同じユーザー名を使用する場合に混乱する原因となります。 vCenter Single Sign-Onで認証可能なユーザーは、 ESXi ホスト オブジェクトの対応する権限がある場合、 ESXi ホストを確認および管理できます。
注: 可能な場合は、 vCenter Serverを介して ESXi ホストの権限を管理します。

vCenter Serverコンポーネントへのログイン方法

vSphere Clientまたは vSphere Web Client に接続してログインできます。

ユーザーが vSphere Client から vCenter Server システムにログインする場合、ログイン動作はユーザーがデフォルトの ID ソースとして設定されているドメインに所属しているかどうかによって異なります。

  • デフォルト ドメインに所属しているユーザーはユーザー名とパスワードでログインできます。
  • vCenter Single Sign-On に ID ソースとして追加されているがデフォルト ドメイン以外のドメインに所属しているユーザーは、vCenter Server にログインできますが、次のいずれかの方法でドメインを指定する必要があります。
    • ドメイン名を前に含める。例) MYDOMAIN\user1
    • ドメインを含める。例) [email protected]
  • vCenter Single Sign-On ID ソースでないドメインに所属しているユーザーは vCenter Server にはログインできません。vCenter Single Sign-On に追加したドメインがドメイン階層の一部である場合、Active Directory は階層内の他のドメインのユーザーが認証されているかどうかを判断します。

環境に Active Directory 階層が含まれる場合は、サポートされる設定とサポートされない設定の詳細を、VMware ナレッジベースの記事 KB 2064250で確認してください。

注: vSphere 6.0 Update 2 以降、2 要素認証がサポートされています。 vCenter Server の 2 要素認証についてを参照してください。