vCenter ServerID プロバイダ フェデレーション設定プロセス フロー

次の図に、vCenter ServerID プロバイダ フェデレーションを設定するときに発生するプロセス フローを示します。

vCenter Server、AD FS、Active Directory は、次のように相互作用します。

1. AD FS 管理者が vCenter Server用に AD FS OAuth アプリケーションを設定します。
2. vCenter Server管理者が vSphere Client を使用して vCenter Server にログインします。
3. vCenter Server管理者が vCenter Server に AD FS ID プロバイダを追加し、Active Directory ドメインに関する情報も入力します。

   vCenter Serverは、AD FS サーバの Active Directory ドメインへの LDAP 接続を確立するためにこの情報を必要とします。この接続を使用して vCenter Serverはユーザーとグループを検索し、次の手順でvCenter Server ローカル グループに追加します。詳細については、この後の「Active Directory ドメインの検索」セクションを参照してください。

4. vCenter Server管理者が vCenter Server での AD FS ユーザーの認証権限を設定します。
5. AD FS プロバイダが VcIdentityProviders API にクエリを発行して、Active Directory ソースの LDAP 接続情報を取得します。
6. AD FS プロバイダがクエリで得られたユーザーまたはグループを Active Directory 内で検索して、認証の設定を完了します。

Active Directory ドメインの検索

vSphere Clientの [メイン ID プロバイダの設定] ウィザードを使用して、AD FS をvCenter Server の外部 ID プロバイダとして設定します。設定プロセスの一部として、ユーザーとグループの識別名 (DN) 情報を含む、Active Directory ドメインに関する情報を入力する必要があります。認証のために AD FS を設定するには、この Active Directory 接続情報が必要です。この接続は、Active Directory のユーザー名とグループを検索してvCenter Serverのロールおよび権限にマッピングするために必要です。また、Active Directory ユーザーの認証には AD FS が使用されます。[メイン ID プロバイダの設定] ウィザードのこの手順では、LDAP を介した Active Directory の ID ソースは作成されません。代わりに vCenter Serverはこの情報を使用して、Active Directory ドメインでユーザーとグループを検索できるように、このドメインに対して検索が可能な有効な接続を確立します。

次の識別名 (DN) エントリを使用する例を考えます。

• ユーザーのベース識別名 (DN)：cn=Users,dc=corp,dc=local
• グループのベース識別名 (DN)：dc=corp,dc=local
• ユーザー名：cn=Administrator,cn=Users,dc=corp,dc=local

[email protected] ユーザーが [email protected] グループのメンバーである場合、vCenter Server管理者はウィザードでこの情報を入力することにより、[email protected] グループを検索して見つけ、それをvCenter Server [email protected] グループに追加できます。その結果、[email protected] ユーザーにはログイン時に vCenter Serverの管理者権限が付与されます。

vCenter Serverでは、Active Directory ユーザーおよびグループのグローバル権限の設定にもこの検索プロセスが使用されます。グローバル権限を設定する場合でもユーザーまたはグループを追加する場合でも、[ドメイン] ドロップダウン メニューから AD FS ID プロバイダに入力したドメインを選択し、Active Directory ドメインからユーザーおよびグループを検索して選択します。