vCenter Server ID プロバイダフェデレーションに関する注意事項と相互運用性

vCenter Server ID プロバイダフェデレーションは、他の多くの VMware 機能と相互運用できます。

vCenter Server ID プロバイダフェデレーション戦略を検討する際は、相互運用性に伴う制限の可能性を考慮してください。

認証メカニズム

vCenter Server の ID プロバイダフェデレーション設定では、外部 ID プロバイダは、認証メカニズム（パスワード、多要素認証 (MFA)、生体認証など）を処理します。

単一の Active Directory ドメインのサポート

vCenter Server ID プロバイダフェデレーションを構成する際に、メイン ID プロバイダの構成ウィザードで、vCenter Server にアクセスするユーザーとグループを含む Active Directory ドメインの LDAP 情報の入力を要求されます。vCenter Server は、ウィザードで指定したユーザーベース DN から、認可と権限に使用する Active Directory ドメインを導出します。vSphere オブジェクトに対する権限は、この Active Directory ドメインのユーザーおよびグループに対してのみ追加できます。Active Directory の子ドメインまたは Active Directory フォレスト内の他のドメインのユーザーまたはグループは、vCenter Server ID プロバイダフェデレーションではサポートされません。

vCenter Server ポリシー

vCenter Server が ID プロバイダとして機能する場合は、vsphere.local ドメインの vCenter Server パスワード、ロックアウト、およびトークンポリシーを手動で制御します。vCenter Server でフェデレーション認証を使用する場合は、Active Directory などの ID ソースに保存されているアカウントのパスワード、ロックアウト、およびトークンポリシーを外部 ID プロバイダが制御します。

監査とコンプライアンス

vCenter Server ID プロバイダフェデレーションを使用している場合、成功したユーザーログインについては、vCenter Server でログエントリが引き続き作成されます。ただし、パスワード入力の失敗やユーザーアカウントのロックアウトなどのアクションは、外部 ID プロバイダが追跡してログに記録します。このようなイベントは vCenter Server で認識されなくなるため、vCenter Server ではログに記録されません。たとえば、AD FS が ID プロバイダの場合は、AD FS がフェデレーションログインのエラーを追跡してログに記録します。vCenter Server がローカルログインの ID プロバイダである場合は、vCenter Server がローカルログインのエラーを追跡してログに記録します。フェデレーション構成では、vCenter Server はログイン後のユーザーアクションを引き続きログに記録します。

既存の VMware 製品の統合

vCenter Server と統合された VMware 製品（vROps、vSAN、NSX など）は、引き続き以前と同様に動作します。

ログイン後に統合される製品

ログイン後に統合される製品（別途ログインする必要がない）は、引き続き以前と同様に動作します。

API、SDK、および CLI アクセスのための単純な認証

単純な認証（ユーザー名とパスワード）を使用する API、SDK、または CLI コマンドに基づく既存のスクリプト、製品、およびその他の機能は引き続き動作します。内部的には、ユーザー名とパスワードを渡して認証が行われます。ユーザー名とパスワードを渡すこの行為により、vCenter Server（およびスクリプト）にパスワードが公開されるため、ID フェデレーションを使用するメリットの一部が損なわれます。可能な場合は、トークンベースの認証への移行を検討してください。

vCenter Server 管理インターフェイス

ユーザーが管理者グループのメンバーである場合は、vCenter Server 管理インターフェイス（旧称 vCenter Server Appliance 管理インターフェイス (VAMI)）へのアクセスがサポートされます。

AD FS ログイン画面でのユーザー名テキストの入力

AD FS ログイン画面では、ユーザー名テキストボックスに事前入力するテキストを渡すことができません。そのため、AD FS を使用したフェデレーションログイン中に、vCenter Server のトップベージでユーザー名を入力し、AD FS ログイン画面にリダイレクトした後、AD FS ログイン画面でユーザー名を再入力する必要があります。vCenter Server のトップページで入力したユーザー名は、該当する ID プロバイダにログインをリダイレクトするために必要で、AD FS ログイン画面のユーザー名は、AD FS での認証に必要です。AD FS ログイン画面にユーザー名を渡すことができないのは、AD FS の制限です。この動作を vCenter Server から直接設定または変更することはできません。