ID ソースを使用すると、vCenter Single Sign-On に 1 つ以上のドメインを接続できます。ドメインは vCenter Single Sign-On サーバがユーザー認証に使用できるユーザーまたはグループのリポジトリです。
注: vSphere 7.0 Update 2 以降では、
vCenter Server で FIPS を有効にできます。『
vSphere のセキュリティ』ドキュメントを参照してください。FIPS が有効な場合、LDAP および IWA を使用した Active Directory はサポートされません。FIPS モードの場合、外部 ID プロバイダ フェデレーションを使用します。
vCenter ServerID プロバイダ フェデレーションの設定を参照してください。
管理者は、ID ソースの追加、デフォルトの ID ソースの設定、vsphere.local ID ソースのユーザーおよびグループの作成を実行できます。
ユーザーおよびグループのデータは、Active Directory、OpenLDAP、またはローカルで vCenter Single Sign-On がインストールされたマシンのオペレーティング システムに格納されます。インストール後、vCenter Single Sign-On のすべてのインスタンスに ID ソース your_domain_name があります(たとえば、vsphere.local など)。この ID ソースは、vCenter Single Sign-On の内部のものです。
注: いかなる場合でも、デフォルトのドメインは 1 つのみ存在します。ユーザーがデフォルト以外のドメインからログインした場合、このユーザーが正常に認証されるためにはドメイン名を追加する必要があります。ドメイン名の形式は次のとおりです。
DOMAIN\user
次の ID ソースが使用可能です。
- LDAP を用いた Active Directory。vCenter Single Sign-On は LDAP を用いた Active Directory の複数の ID ソースをサポートします。
- Active Directory(統合 Windows 認証)バージョン 2003 以降。vCenter Single Sign-On を使用すると、単一の Active Directory ドメインを ID ソースとして指定できます。ドメインに子ドメインを持たせたり、フォレスト ルート ドメインにすることができます。VMware のナレッジベースの記事KB2064250では、vCenter Single Sign-On でサポートされている Microsoft Active Directory の信頼関係について解説しています。
- OpenLDAP バージョン 2.4 以降。vCenter Single Sign-On は複数の OpenLDAP ID ソースをサポートします。
注: Microsoft Windows の今後の更新では、強力な認証と暗号化を必須とするように、Active Directory のデフォルトの動作が変更されます。この変更は、
vCenter Serverが Active Directory に対してどのように認証を行うかに影響します。vCenter Server の ID ソースとして Active Directory を使用する場合は、LDAPS を有効にすることを検討する必要があります。この Microsoft セキュリティ アップデートの詳細については、
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190023および
https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.htmlを参照してください。