vSphere は、vCenter Serverおよび ESXi コンポーネントの証明書管理タスクの実行、および vCenter Single Sign-On を介した認証の設定のためのサービスを提供します。
vSphere 証明書管理の概要
デフォルトでは、vSphere によって VMware Certificate Authority (VMCA) 証明書を使用して vCenter ServerコンポーネントおよびESXi ホストをプロビジョニングできます。VMware Endpoint Certificate Store (VECS) に格納されているカスタム証明書を使用することもできます。
vCenter Single Sign-On の概要
vCenter Single Sign-Onを使用すると、vSphere コンポーネントの安全なトークン メカニズムを介した相互通信が可能になります。vCenter Single Sign-Onでは独自の用語と定義が使用されており、これらを理解することが重要です。
| 用語 | 定義 |
|---|---|
| プリンシパル | ユーザーなどの認証可能なエンティティ。 |
| ID プロバイダ | ID ソースを管理し、プリンシパルを認証するサービス。例:Microsoft Active Directory フェデレーション サービス (AD FS) および vCenter Single Sign-On。 |
| ID ソース(ディレクトリ サービス) | プリンシパルを格納および管理します。プリンシパルは、ユーザーまたはサービス アカウントに関する属性(名前、アドレス、E メール、グループ メンバーシップなど)のコレクションで構成されます。例:Microsoft Active Directory および VMware Directory Service (vmdir)。 |
| 認証 | 誰かまたは何かが、実際に自身で宣言しているとおりの人または物であるかどうかを判断するための手段。たとえば、ユーザーは、スマート カード、ユーザー名、正しいパスワードなどの認証情報を入力すると認証されます。 |
| 認可 | プリンシパルがアクセスできるオブジェクトを確認するプロセス。 |
| トークン | 特定のプリンシパルの ID 情報を構成するデータの署名付きコレクション。トークンには、そのタイプによってはメール アドレスやフル ネームなどのプリンシパルに関する基本的な情報だけでなく、プリンシパルのグループとロールも含まれることがあります。 |
| vmdir | VMware Directory Service。ユーザー ID、グループ、および設定データを格納する vCenter Server内の内部(ローカル)LDAP リポジトリ。 |
| OpenID Connect (OIDC) | OAuth2 に基づく認証プロトコル。vCenter Serverでは、Active Directory フェデレーション サービス (AD FS) とのやり取りに OIDC 機能が使用されます。 |
vCenter Single Sign-On認証タイプ
vCenter Single Sign-Onでは、組み込みの vCenter Server ID プロバイダと外部 ID プロバイダのどちらが関係するかに応じて、異なるタイプの認証が使用されます。
| 認証タイプ | ID プロバイダとして機能するもの | vCenter Serverはパスワードを処理するか | 説明 |
|---|---|---|---|
| トークンベースの認証 | 外部 ID プロバイダ。たとえば、AD FS です。 | なし | vCenter Serverは、特定のプロトコルを介して外部の ID プロバイダと通信し、特定のユーザーを識別するトークンを取得します。 |
| 単純な認証 | vCenter Server | はい | ユーザー名とパスワードが vCenter Serverに直接渡され、そこで ID ソースによって認証情報が検証されます。 |
