vSphere 7.0 以降をインストールするか、vSphere 7.0 以降にアップグレードした後、vCenter Server ID プロバイダ フェデレーションを設定できます。
vCenter Server は、1 つの構成されている外部 ID プロバイダ(1 つのソース)と、vsphere.local ID ソースのみをサポートします。複数の外部 ID プロバイダを使用することはできません。vCenter Server ID プロバイダ フェデレーションは、vCenter Server へのユーザー ログインに OpenID Connect (OIDC) を使用します。
このタスクでは、権限を制御する手段として AD FS グループを vSphere 管理者グループに追加する方法について説明します。また、vCenter Server のグローバル権限またはオブジェクト権限による AD FS 認可を使用して権限を構成することもできます。権限の追加の詳細については、ドキュメント『vSphere のセキュリティ』を参照してください。
AD FS ID ソースの vCenter Server に以前に追加した Active Directory ID ソースを使用する場合は、その既存の ID ソースを vCenter Server から削除しないでください。これを行うと、以前に割り当てられたロールとグループ メンバーシップでリグレッションが発生します。グローバル権限を持つ AD FS ユーザーと管理者グループに追加されたユーザーの両方がログインできなくなります。
回避策:以前に割り当てられたロールとグループ メンバーシップが不要で、以前の Active Directory ID ソースを削除する場合は、AD FS プロバイダを作成して vCenter Server でグループ メンバーシップを構成する前に、ID ソースを削除します。
前提条件
Active Directory フェデレーション サービスの要件:
- Windows Server 2016 以降の AD FS がすでにデプロイされている必要があります。
- Active Directory に AD FS が接続されている必要があります。
- 設定プロセスの一部として、vCenter Server のアプリケーショングループを AD FS で作成する必要があります。VMware のナレッジベースの記事 (https://kb.vmware.com/s/article/78029) を参照してください。
- 信頼済みルート証明書ストア(VMware 証明書ストアとも呼ばれます)に追加された AD FS ルート CA 証明書。
- vCenter Server 管理者権限の付与対象となるユーザーを含む vCenter Server 管理者グループを AD FS 内に作成しました。
AD FS の設定の詳細については、Microsoft 社のドキュメントを参照してください。
vCenter Server とその他の要件:
- vSphere 7.0 以降
- vCenter Server は、AD FS 検出エンドポイントに接続可能で、さらに認可、トークン、ログアウト、JWKS および検出エンドポイント メタデータにアドバタイズされているその他のエンドポイントに接続可能である必要があります。
- フェデレーションされた認証に必要な vCenter Server ID プロバイダを作成、更新、作成するには、 権限が必要です。ユーザーが ID プロバイダの設定情報のみを表示するように制限するには、 権限を割り当てます。