vCenter Server ID プロバイダ フェデレーションは、他の多くの VMware 機能と相互運用できます。

vCenter Server ID プロバイダ フェデレーション戦略を検討する際は、相互運用性に伴う制限の可能性を考慮してください。

認証メカニズム

vCenter Server の ID プロバイダ フェデレーション設定では、外部 ID プロバイダは、認証メカニズム(パスワード、多要素認証 (MFA)、生体認証など)を処理します。

単一の Active Directory ドメインのサポート

vCenter Server ID プロバイダ フェデレーションを構成する際に、メイン ID プロバイダの構成 ウィザードで、vCenter Server にアクセスするユーザーとグループを含む Active Directory ドメインの LDAP 情報の入力を要求されます。vCenter Server は、ウィザードで指定したユーザー ベース DN から、認可と権限に使用する Active Directory ドメインを導出します。vSphere オブジェクトに対する権限は、この Active Directory ドメインのユーザーおよびグループに対してのみ追加できます。Active Directory の子ドメインまたは Active Directory フォレスト内の他のドメインのユーザーまたはグループは、vCenter Server ID プロバイダ フェデレーションではサポートされません。

vCenter Server ポリシー

vCenter Server が ID プロバイダとして機能する場合は、vsphere.local ドメインの vCenter Server パスワード、ロックアウト、およびトークン ポリシーを手動で制御します。vCenter Server でフェデレーション認証を使用する場合は、Active Directory などの ID ソースに保存されているアカウントのパスワード、ロックアウト、およびトークン ポリシーを外部 ID プロバイダが制御します。

監査とコンプライアンス

vCenter Server ID プロバイダ フェデレーションを使用している場合、成功したユーザー ログインについては、vCenter Server でログ エントリが引き続き作成されます。ただし、パスワード入力の失敗やユーザー アカウントのロックアウトなどのアクションは、外部 ID プロバイダが追跡してログに記録します。このようなイベントは vCenter Server で認識されなくなるため、vCenter Server ではログに記録されません。たとえば、AD FS が ID プロバイダの場合は、AD FS がフェデレーション ログインのエラーを追跡してログに記録します。vCenter Server がローカル ログインの ID プロバイダである場合は、vCenter Server がローカル ログインのエラーを追跡してログに記録します。フェデレーション構成では、vCenter Server はログイン後のユーザー アクションを引き続きログに記録します。

既存の VMware 製品の統合

vCenter Server と統合された VMware 製品(vROps、vSAN、NSX など)は、引き続き以前と同様に動作します。

ログイン後に統合される製品

ログイン後に統合される製品(別途ログインする必要がない)は、引き続き以前と同様に動作します。

API、SDK、および CLI アクセスのための単純な認証

単純な認証(ユーザー名とパスワード)を使用する API、SDK、または CLI コマンドに基づく既存のスクリプト、製品、およびその他の機能は引き続き動作します。内部的には、ユーザー名とパスワードを渡して認証が行われます。ユーザー名とパスワードを渡すこの行為により、vCenter Server(およびスクリプト)にパスワードが公開されるため、ID フェデレーションを使用するメリットの一部が損なわれます。可能な場合は、トークンベースの認証への移行を検討してください。

vCenter Server 管理インターフェイス

ユーザーが管理者グループのメンバーである場合は、vCenter Server 管理インターフェイス(旧称 vCenter Server Appliance 管理インターフェイス (VAMI))へのアクセスがサポートされます。

AD FS ログイン画面でのユーザー名テキストの入力

AD FS ログイン画面では、ユーザー名テキスト ボックスに事前入力するテキストを渡すことができません。そのため、AD FS を使用したフェデレーション ログイン中に、vCenter Server のトップベージでユーザー名を入力し、AD FS ログイン画面にリダイレクトした後、AD FS ログイン画面でユーザー名を再入力する必要があります。vCenter Server のトップページで入力したユーザー名は、該当する ID プロバイダにログインをリダイレクトするために必要で、AD FS ログイン画面のユーザー名は、AD FS での認証に必要です。AD FS ログイン画面にユーザー名を渡すことができないのは、AD FS の制限です。この動作を vCenter Server から直接設定または変更することはできません。