拡張リンク モードを使用している vCenter Server環境で ID プロバイダ フェデレーションを有効にしても、認証とワークフローは以前と同様に機能し続けます。

拡張リンク モード構成を使用する場合は、フェデレーション認証を使用して vCenter Serverにログインするときに、次の点に注意してください。

  • ユーザーには引き続き同じインベントリが表示され、ユーザーは vCenter Serverの権限とロール モデルに基づいて同じアクションを実行できます。
  • 拡張リンク モードのvCenter Serverホストは、互いの ID プロバイダにアクセスする必要はありません。たとえば、拡張リンク モードを使用する 2 つのvCenter Serverシステム A と B を想定します。vCenter ServerA で承認されたユーザーは、vCenter Server B でも承認されます。

次の図に、拡張リンク モードと vCenter ServerID プロバイダ フェデレーションの認証ワークフローを示します。

図 1. 拡張リンク モードと vCenter ServerID プロバイダ フェデレーション
この図は、拡張リンク モードを使用している vCenter Server と AD FS のやり取りを示しています。
  1. 拡張リンク モード構成では、2 台の vCenter Serverノードがデプロイされます。
  2. AD FS のセットアップは、vCenter ServerA でvSphere Client の [ID プロバイダの変更] ウィザードを使用して設定されています。AD FS のユーザーまたはグループに対するグループ メンバーシップと権限も確立されています。
  3. vCenter ServerA から vCenter Server B に AD FS 設定が複製されます。
  4. 両方の vCenter Server ノードのすべてのリダイレクト URI が、AD FS の OAuth アプリケーション グループに追加されます。1 つの OAuth アプリケーション グループのみが作成されます。
  5. ユーザーが vCenter ServerA にログインし、承認されると、そのユーザーは vCenter Server B でも承認されます。ユーザーが最初に vCenter Server B にログインした場合も同様です。
vCenter Server 拡張リンク モードは、ID プロバイダ フェデレーションの次の設定シナリオをサポートしています。このセクションでは、「AD FS 設定」および「AD FS 構成」という用語は、[ID プロバイダの変更] ウィザードを使用して vSphere Clientで実行した設定、および AD FS ユーザーまたはグループに対して確立したグループ メンバーシップまたは権限を示しています。
既存の拡張リンク モード構成での AD FS の有効化
手順の概要:
  1. 拡張リンク モード構成で、N 個の vCenter Serverノードをデプロイします。
  2. リンクされた vCenter Serverノードのいずれかで AD FS を設定します。
  3. AD FS 設定が他のすべての (N-1) vCenter Server個のノードに複製されます。
  4. N 個すべての vCenter Serverノードのすべてのリダイレクト URI を、AD FS の設定済み OAuth アプリケーション グループに追加します。
新しい vCenter Serverから既存の拡張リンク モード AD FS 設定へのリンク
手順の概要:
  1. (前提条件)vCenter Serverの N ノード拡張リンク モード構成で AD FS を設定します。
  2. 独立した新しい vCenter Serverノードをデプロイします。
  3. N 個のノードのいずれかをレプリケーション パートナーとして使用して、この新しい vCenter Server を N ノード AD FS 拡張リンク モード ドメインに再ポイントします。
  4. 既存の拡張リンク モード構成のすべての AD FS 設定が新しい vCenter Serverに複製されます。

    N ノード AD FS 拡張リンク モード ドメインにある AD FS 設定により、新しくリンクされた vCenter Serverの既存の AD FS 設定が上書きされます。

  5. 新しい vCenter Serverに関するすべてのリダイレクト URI を、AD FS の設定済み OAuth アプリケーション グループに追加します。
拡張リンク モードの AD FS 設定から vCenter Serverをリンク解除
手順の概要:
  1. (前提条件)N ノードの vCenter Server拡張リンク モード構成で AD FS を設定します。
  2. N ノード構成のいずれかの vCenter Serverホストを登録解除し、それを新しいドメインに再ポイントすると、N ノード構成からリンクが解除されます。
  3. ドメインの再ポイント プロセスでは SSO 設定が保持されないため、リンクが解除されたvCenter Serverノードのすべての AD FS 設定は元に戻り、失われます。このリンクが解除された vCenter Serverノードで AD FS を引き続き使用するには、AD FS を最初から設定し直すか、すでに AD FS が設定されている拡張リンク モード構成に vCenter Server を再リンクする必要があります。