vSphere 7.0 以降をインストールするか、vSphere 7.0 以降にアップグレードした後、vCenter Server ID プロバイダ フェデレーションを設定できます。

vCenter Server は、1 つの構成されている外部 ID プロバイダ(1 つのソース)と、vsphere.local ID ソースのみをサポートします。複数の外部 ID プロバイダを使用することはできません。vCenter Server ID プロバイダ フェデレーションは、vCenter Server へのユーザー ログインに OpenID Connect (OIDC) を使用します。

このタスクでは、権限を制御する手段として AD FS グループを vSphere 管理者グループに追加する方法について説明します。また、vCenter Server のグローバル権限またはオブジェクト権限による AD FS 認可を使用して権限を構成することもできます。権限の追加の詳細については、ドキュメント『vSphere のセキュリティ』を参照してください。

注意:

AD FS ID ソースの vCenter Server に以前に追加した Active Directory ID ソースを使用する場合は、その既存の ID ソースを vCenter Server から削除しないでください。これを行うと、以前に割り当てられたロールとグループ メンバーシップでリグレッションが発生します。グローバル権限を持つ AD FS ユーザーと管理者グループに追加されたユーザーの両方がログインできなくなります。

回避策:以前に割り当てられたロールとグループ メンバーシップが不要で、以前の Active Directory ID ソースを削除する場合は、AD FS プロバイダを作成して vCenter Server でグループ メンバーシップを構成する前に、ID ソースを削除します。

前提条件

Active Directory フェデレーション サービスの要件:

  • Windows Server 2016 以降の AD FS がすでにデプロイされている必要があります。
  • Active Directory に AD FS が接続されている必要があります。
  • 設定プロセスの一部として、vCenter Server のアプリケーショングループを AD FS で作成する必要があります。VMware のナレッジベースの記事 (https://kb.vmware.com/s/article/78029) を参照してください。
  • 信頼済みルート証明書ストア(VMware 証明書ストアとも呼ばれます)に追加された AD FS ルート CA 証明書。
  • vCenter Server 管理者権限の付与対象となるユーザーを含む vCenter Server 管理者グループを AD FS 内に作成しました。

AD FS の設定の詳細については、Microsoft 社のドキュメントを参照してください。

vCenter Server とその他の要件:

  • vSphere 7.0 以降
  • vCenter Server は、AD FS 検出エンドポイントに接続可能で、さらに認可、トークン、ログアウト、JWKS および検出エンドポイント メタデータにアドバタイズされているその他のエンドポイントに接続可能である必要があります。
  • フェデレーションされた認証に必要な vCenter Server ID プロバイダを作成、更新、作成するには、VcIdentityProviders.Manage 権限が必要です。ユーザーが ID プロバイダの設定情報のみを表示するように制限するには、VcIdentityProviders.Read 権限を割り当てます。

手順

  1. vSphere Client を使用して vCenter Server にログインします。
  2. AD FS ルート CA 証明書を信頼済みルート証明書ストアに追加します。
    1. [管理] > [証明書] > [証明書の管理] の順に移動します。
    2. [信頼されたルート ストア] の横にある [追加] をクリックします。
    3. AD FS ルート証明書を参照し、[追加] をクリックします。
      証明書が [信頼できるルート証明書] の下のパネルに追加されます。
  3. [構成] ユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [Single Sign-On] で、[構成] をクリックします。
  4. [ID プロバイダ] タブを選択し、リダイレクト URI を取得します。
    1. [ID プロバイダの変更] リンクの横にある情報通知の「i」 [アイコン ] をクリックします。
      ポップアップ バナーに 2 つのリダイレクト URI が表示されます。
    2. 2 つの URI をファイルにコピーするか、後で後続の手順において AD FS サーバの設定に使用するために書き留めます。
    3. ポップアップ バナーを閉じます。
  5. AD FS で OpenID Connect 構成を作成し、vCenter Server 用に設定します。
    vCenter Server と ID プロバイダの間で証明書利用者の信頼を確立するには、識別情報と両者の間の共有シークレット キーを確立する必要があります。AD FS でこれを実行するには、サーバ アプリケーションと Web API で構成される、アプリケーション グループと呼ばれる OpenID Connect 構成を作成します。この 2 つのコンポーネントは、 vCenter Server が AD FS サーバを信頼し、これと通信するために使用する情報を指定します。AD FS で OpenID Connect を有効にするには、 https://kb.vmware.com/s/article/78029にある Vmware のナレッジベースの記事を参照してください。

    AD FS アプリケーション グループを作成するときは、次の点に注意してください。

    • 前の手順で取得して保存した 2 つのリダイレクト URI が必要です。
    • 次の手順で vCenter Server ID プロバイダを設定するときに使用するために、次の情報をファイルにコピーするか、または書き留めます。
      • クライアント識別子
      • 共有シークレット
      • AD FS サーバの OpenID アドレス
  6. vCenter Server で ID プロバイダを作成します。
    1. vSphere Client[ID プロバイダ] タブに戻ります。
    2. [ID プロバイダの変更] リンクをクリックします。
      メイン ID プロバイダの設定ウィザードが開きます。
    3. [Microsoft ADFS] を選択し、[次へ] をクリックします。
      以前に収集した情報を次のテキストボックスに入力します。
      • クライアント識別子
      • 共有シークレット
      • AD FS サーバの OpenID アドレス
    4. [次へ] をクリックします。
    5. LDAP を介した Active Directory 接続のユーザーおよびグループ情報を入力して、ユーザーとグループを検索します。
      vCenter Server は、認可と権限付与に使用する Active Directory ドメインをユーザーのベース識別名から導出します。vSphere オブジェクトに対する権限は、この Active Directory ドメインのユーザーおよびグループに対してのみ追加できます。Active Directory の子ドメインまたは Active Directory フォレスト内の他のドメインのユーザーまたはグループは、 vCenter Server ID プロバイダ フェデレーションではサポートされません。
      オプション 説明
      ユーザーのベース識別名 ユーザーのベース識別名。
      グループのベース識別名 グループのベース識別名。
      ユーザー名 ユーザーおよびグループの BaseDN に対して、最低限の読み取り専用アクセス権を持つドメイン内のユーザーの ID。
      パスワード ユーザーおよびグループの BaseDN に対して、最低限の読み取り専用アクセス権を持つドメイン内のユーザーの ID。
      プライマリ サーバ URL ドメインのプライマリ ドメイン コントローラ LDAP サーバ。

      ldap://hostname:port の形式または ldaps://hostname:port の形式を使用します。通常のポートは、LDAP 接続では 389、LDAPS 接続では 636 です。Active Directory のマルチドメイン コントローラ デプロイの場合、通常のポートは LDAP 接続では 3268、LDAPS 接続では 3269 です。

      プライマリまたはセカンダリ LDAP の URL に ldaps:// を使用する場合は、Active Directory サーバの LDAPS エンドポイントに対する信頼を確立する証明書が必要です。

      セカンダリ サーバの URL フェイルオーバーに使用されるセカンダリ ドメイン コントローラ LDAP サーバのアドレス。
      SSL 証明書 Active Directory LDAP Server または OpenLDAP Server の ID ソースで LDAPS を使用する場合、参照 をクリックして証明書を選択します。
    6. [次へ] をクリックし、情報を確認してから、[終了] をクリックします。
  7. vCenter Single Sign-On ユーザーの設定を行うユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [Single Sign-On] で、[ユーザーおよびグループ] をクリックします。
  8. AD FS 認可用のグループ メンバーシップ vCenter Server を構成します。
    1. [グループ] タブをクリックします。
    2. [管理者] グループをクリックして、[メンバーの追加] をクリックします。
    3. ドロップダウン メニューからドメインを選択します。
    4. ドロップダウン メニューの下のテキスト ボックスに、追加する AD FS グループの最初の数文字を入力し、ドロップダウンの選択肢が表示されるまで待ちます。
      vCenter Server が Active Directory への接続を確立して検索するため、選択肢が表示されるまで数秒かかる場合があります。
    5. AD FS グループを選択し、管理者グループに追加します。
    6. [保存] をクリックします。
  9. Active Directory ユーザーで vCenter Server にログインしていることを確認します。