vCenter ServerID プロバイダ フェデレーションの基本

vSphere 7.0 以降のvCenter Serverでは、フェデレーション認証がサポートされます。このシナリオでは、ユーザーが vCenter Serverにログインすると、vCenter Server はユーザー ログインを外部の ID プロバイダにリダイレクトします。ユーザー認証情報が直接vCenter Serverに提供されることはなくなりました。代わりに、ユーザーは外部の ID プロバイダに認証情報を提供します。vCenter Server は、認証を実行するために外部 ID プロバイダを信頼します。フェデレーション モデルでは、ユーザーが認証情報をサービスまたはアプリケーションに直接提供することはなく、ID プロバイダのみに提供します。それにより、vCenter Serverなどのアプリケーションとサービスを ID プロバイダと「フェデレート」します。

vCenter ServerID プロバイダ フェデレーションの利点

vCenter ServerID プロバイダ フェデレーションには、次の利点があります。

• 既存のフェデレーション インフラストラクチャおよびアプリケーションで Single Sign-On を使用できます。
• vCenter Serverではユーザーの認証情報が処理されないため、データセンターのセキュリティを高めることができます。
• 外部 ID プロバイダでサポートされている多要素認証などの認証メカニズムを使用できます。

vCenter ServerID プロバイダ フェデレーション コンポーネント

Microsoft Active Directory フェデレーション サービス (AD FS) を使用する vCenter ServerID プロバイダ フェデレーションは、次のコンポーネントから構成されています。

• vCenter Server
• vCenter Server上に構成された ID プロバイダ サービス
• AD FS サーバおよび関連付けられている Microsoft Active Directory ドメイン
• AD FS アプリケーション グループ
• vCenter Serverグループおよびユーザーにマッピングされる Active Directory グループおよびユーザー

vCenter ServerID プロバイダ フェデレーション アーキテクチャ

vCenter ServerID プロバイダ フェデレーションでは、vCenter Server は OpenID Connect (OIDC) プロトコルを使用して、vCenter Server に対するユーザー認証を行う ID トークンを受け取ります。

vCenter Serverと ID プロバイダの間で証明書利用者の信頼を確立するには、識別情報と両者の間の共有シークレット キーを確立する必要があります。AD FS でこれを実行するには、サーバ アプリケーションと Web API で構成される、アプリケーション グループと呼ばれる OIDC 構成を作成します。この 2 つのコンポーネントは、vCenter Serverが AD FS サーバを信頼し、これと通信するために使用する情報を指定します。また、対応する ID プロバイダをvCenter Server内で作成します。最後に、AD FS ドメイン内のユーザーからのログインを承認するためにグループ メンバーシップを vCenter Server内で設定します。

AD FS 管理者は、vCenter ServerID プロバイダの構成を作成するために次の情報を提供する必要があります。

• クライアント識別子：AD FS アプリケーション グループ ウィザードによって生成され、アプリケーション グループ自体を識別する UUID 文字列。
• 共有シークレット キー：AD FS アプリケーション グループ ウィザードによって生成され、AD FS で vCenter Serverを認証するために使用されるシークレット。
• OpenID アドレス：既知のアドレスを指定する、AD FS サーバの OpenID Provider Discovery のエンドポイント URL。通常は発行者のエンドポイントにパス「/.well-known/openid-configuration」を連結したものです。たとえば、https://webserver.example.com/adfs/.well-known/openid-configurationです。