vSphere 7.0 以降の vCenter Server では、vCenter Server へのログインでフェデレーション認証がサポートされます。

vCenter Server へのフェデレーション認証を有効にするには、外部 ID プロバイダへの接続を設定します。設定した ID プロバイダ インスタンスにより、ID プロバイダとしての vCenter Server が置き換えられます。現在、vCenter Server は、外部の ID プロバイダとして Active Directory フェデレーション サービス (AD FS) のみをサポートしています。

注: vSphere がトークンベースの認証に移行することに伴い、VMware はフェデレーション認証の使用を推奨します。 vCenter Server は引き続き、管理アクセスとエラー リカバリのためにローカル アカウントを使用します。

vCenter ServerID プロバイダ フェデレーションの機能

vCenter Serverの ID プロバイダ フェデレーションにより、フェデレーション認証用に外部 ID プロバイダを構成できます。この構成では、外部 ID プロバイダが vCenter Serverの代わりに ID ソースと通信します。

vCenter ServerID プロバイダ フェデレーションの基本

vSphere 7.0 以降のvCenter Serverでは、フェデレーション認証がサポートされます。このシナリオでは、ユーザーが vCenter Serverにログインすると、vCenter Server はユーザー ログインを外部の ID プロバイダにリダイレクトします。ユーザー認証情報が直接vCenter Serverに提供されることはなくなりました。代わりに、ユーザーは外部の ID プロバイダに認証情報を提供します。vCenter Server は、認証を実行するために外部 ID プロバイダを信頼します。フェデレーション モデルでは、ユーザーが認証情報をサービスまたはアプリケーションに直接提供することはなく、ID プロバイダのみに提供します。それにより、vCenter Serverなどのアプリケーションとサービスを ID プロバイダと「フェデレート」します。

vCenter ServerID プロバイダ フェデレーションの利点

vCenter ServerID プロバイダ フェデレーションには、次の利点があります。

  • 既存のフェデレーション インフラストラクチャおよびアプリケーションで Single Sign-On を使用できます。
  • vCenter Serverではユーザーの認証情報が処理されないため、データセンターのセキュリティを高めることができます。
  • 外部 ID プロバイダでサポートされている多要素認証などの認証メカニズムを使用できます。

vCenter ServerID プロバイダ フェデレーション コンポーネント

Microsoft Active Directory フェデレーション サービス (AD FS) を使用する vCenter ServerID プロバイダ フェデレーションは、次のコンポーネントから構成されています。

  • vCenter Server
  • vCenter Server上に構成された ID プロバイダ サービス
  • AD FS サーバおよび関連付けられている Microsoft Active Directory ドメイン
  • AD FS アプリケーション グループ
  • vCenter Serverグループおよびユーザーにマッピングされる Active Directory グループおよびユーザー
注: 現在、 vCenter Serverでは、外部 ID プロバイダとして AD FS のみがサポートされます。

vCenter ServerID プロバイダ フェデレーション アーキテクチャ

vCenter ServerID プロバイダ フェデレーションでは、vCenter Server は OpenID Connect (OIDC) プロトコルを使用して、vCenter Server に対するユーザー認証を行う ID トークンを受け取ります。

vCenter Serverと ID プロバイダの間で証明書利用者の信頼を確立するには、識別情報と両者の間の共有シークレット キーを確立する必要があります。AD FS でこれを実行するには、サーバ アプリケーションと Web API で構成される、アプリケーション グループと呼ばれる OIDC 構成を作成します。この 2 つのコンポーネントは、vCenter Serverが AD FS サーバを信頼し、これと通信するために使用する情報を指定します。また、対応する ID プロバイダをvCenter Server内で作成します。最後に、AD FS ドメイン内のユーザーからのログインを承認するためにグループ メンバーシップを vCenter Server内で設定します。

AD FS 管理者は、vCenter ServerID プロバイダの構成を作成するために次の情報を提供する必要があります。

  • クライアント識別子:AD FS アプリケーション グループ ウィザードによって生成され、アプリケーション グループ自体を識別する UUID 文字列。
  • 共有シークレット キー:AD FS アプリケーション グループ ウィザードによって生成され、AD FS で vCenter Serverを認証するために使用されるシークレット。
  • OpenID アドレス:既知のアドレスを指定する、AD FS サーバの OpenID Provider Discovery のエンドポイント URL。通常は発行者のエンドポイントにパス「/.well-known/openid-configuration」を連結したものです。たとえば、https://webserver.example.com/adfs/.well-known/openid-configurationです。

vCenter Server ID プロバイダ フェデレーションと拡張リンク モード

拡張リンク モードを使用している vCenter Server 環境で ID プロバイダ フェデレーションを有効にしても、認証とワークフローは以前と同様に機能し続けます。

拡張リンク モード構成を使用する場合は、フェデレーション認証を使用して vCenter Server にログインするときに、次の点に注意してください。

  • ユーザーには引き続き同じインベントリが表示され、ユーザーは vCenter Server の権限とロール モデルに基づいて同じアクションを実行できます。
  • 拡張リンク モードの vCenter Server ホストは、互いの ID プロバイダにアクセスする必要はありません。たとえば、拡張リンク モードを使用する 2 つの vCenter Server システム A と B を想定します。vCenter Server A で承認されたユーザーは、vCenter Server B でも承認されます。

拡張リンク モードと vCenter Server ID プロバイダ フェデレーションを使用した認証ワークフロー

次の図に、拡張リンク モードと vCenter Server ID プロバイダ フェデレーションの認証ワークフローを示します。

図 1. 拡張リンク モードと vCenter Server ID プロバイダ フェデレーション
この図は、拡張リンク モードを使用している vCenter Server と AD FS のやり取りを示しています。
  1. 拡張リンク モード構成では、2 台の vCenter Server ノードがデプロイされます。
  2. AD FS のセットアップは、vCenter Server A で vSphere Client の [ID プロバイダの変更] ウィザードを使用して設定されています。AD FS のユーザーまたはグループに対するグループ メンバーシップと権限も確立されています。
  3. vCenter Server A から vCenter Server B に AD FS 設定が複製されます。
  4. 両方の vCenter Server ノードのすべてのリダイレクト URI が、AD FS の OAuth アプリケーション グループに追加されます。1 つの OAuth アプリケーション グループのみが作成されます。
  5. ユーザーが vCenter Server A にログインし、承認されると、そのユーザーは vCenter Server B でも承認されます。ユーザーが最初に vCenter Server B にログインした場合も同様です。

vCenter Server 拡張リンク モードは、ID プロバイダ フェデレーションの次の設定シナリオをサポートしています。このセクションでは、「AD FS 設定」および「AD FS 構成」という用語は、[ID プロバイダの変更] ウィザードを使用して vSphere Client で実行した設定、および AD FS ユーザーまたはグループに対して確立したグループ メンバーシップまたは権限を示しています。

既存の拡張リンク モード構成での AD FS の有効化

手順の概要:

  1. 拡張リンク モード構成で、N 個の vCenter Server ノードをデプロイします。
  2. リンクされた vCenter Server ノードのいずれかで AD FS を設定します。
  3. AD FS 設定が他のすべての (N-1) vCenter Server 個のノードに複製されます。
  4. N 個すべての vCenter Server ノードのすべてのリダイレクト URI を、AD FS の設定済み OAuth アプリケーション グループに追加します。

新しい vCenter Server から既存の拡張リンク モード AD FS 構成へのリンク

手順の概要:

  1. (前提条件)vCenter Server の N ノード拡張リンク モード構成で AD FS を設定します。
  2. 独立した新しい vCenter Server ノードをデプロイします。
  3. N 個のノードのいずれかをレプリケーション パートナーとして使用して、この新しい vCenter Server を N ノード AD FS 拡張リンク モード ドメインに再ポイントします。
  4. 既存の拡張リンク モード構成のすべての AD FS 設定が新しい vCenter Server に複製されます。

    N ノード AD FS 拡張リンク モード ドメインにある AD FS 設定により、新しくリンクされた vCenter Server の既存の AD FS 設定が上書きされます。

  5. 新しい vCenter Server に関するすべてのリダイレクト URI を、AD FS の設定済み OAuth アプリケーション グループに追加します。

拡張リンク モードの AD FS 構成からの vCenter Server のリンク解除

手順の概要:

  1. (前提条件)N ノードの vCenter Server 拡張リンク モード構成で AD FS を設定します。
  2. N ノード構成のいずれかの vCenter Server ホストを登録解除し、それを新しいドメインに再ポイントすると、N ノード構成からリンクが解除されます。
  3. ドメインの再ポイント プロセスでは SSO 設定が保持されないため、リンクが解除された vCenter Server ノードのすべての AD FS 設定は元に戻り、失われます。このリンクが解除された vCenter Server ノードで AD FS を引き続き使用するには、AD FS を最初から設定し直すか、すでに AD FS が設定されている拡張リンク モード構成に vCenter Server を再リンクする必要があります。

vCenter Server ID プロバイダ フェデレーションに関する注意事項と相互運用性

vCenter Server ID プロバイダ フェデレーションは、他の多くの VMware 機能と相互運用できます。

vCenter Server ID プロバイダ フェデレーション戦略を検討する際は、相互運用性に伴う制限の可能性を考慮してください。

認証メカニズム

vCenter Server の ID プロバイダ フェデレーション設定では、外部 ID プロバイダは、認証メカニズム(パスワード、多要素認証 (MFA)、生体認証など)を処理します。

単一の Active Directory ドメインのサポート

vCenter Server ID プロバイダ フェデレーションを構成する際に、メイン ID プロバイダの構成 ウィザードで、vCenter Server にアクセスするユーザーとグループを含む Active Directory ドメインの LDAP 情報の入力を要求されます。vCenter Server は、ウィザードで指定したユーザー ベース DN から、認可と権限に使用する Active Directory ドメインを導出します。vSphere オブジェクトに対する権限は、この Active Directory ドメインのユーザーおよびグループに対してのみ追加できます。Active Directory の子ドメインまたは Active Directory フォレスト内の他のドメインのユーザーまたはグループは、vCenter Server ID プロバイダ フェデレーションではサポートされません。

vCenter Server ポリシー

vCenter Server が ID プロバイダとして機能する場合は、vsphere.local ドメインの vCenter Server パスワード、ロックアウト、およびトークン ポリシーを手動で制御します。vCenter Server でフェデレーション認証を使用する場合は、Active Directory などの ID ソースに保存されているアカウントのパスワード、ロックアウト、およびトークン ポリシーを外部 ID プロバイダが制御します。

監査とコンプライアンス

vCenter Server ID プロバイダ フェデレーションを使用している場合、成功したユーザー ログインについては、vCenter Server でログ エントリが引き続き作成されます。ただし、パスワード入力の失敗やユーザー アカウントのロックアウトなどのアクションは、外部 ID プロバイダが追跡してログに記録します。このようなイベントは vCenter Server で認識されなくなるため、vCenter Server ではログに記録されません。たとえば、AD FS が ID プロバイダの場合は、AD FS がフェデレーション ログインのエラーを追跡してログに記録します。vCenter Server がローカル ログインの ID プロバイダである場合は、vCenter Server がローカル ログインのエラーを追跡してログに記録します。フェデレーション構成では、vCenter Server はログイン後のユーザー アクションを引き続きログに記録します。

既存の VMware 製品の統合

vCenter Server と統合された VMware 製品(VMware vRealize Operations、VMware vSAN™、VMware NSX® など)は、引き続き以前と同様に動作します。

ログイン後に統合される製品

ログイン後に統合される製品(別途ログインする必要がない)は、引き続き以前と同様に動作します。

API、SDK、および CLI アクセスのための単純な認証

単純な認証(ユーザー名とパスワード)を使用する API、SDK、または CLI コマンドに基づく既存のスクリプト、製品、およびその他の機能は引き続き動作します。内部的には、ユーザー名とパスワードを渡して認証が行われます。ユーザー名とパスワードを渡すこの行為により、vCenter Server(およびスクリプト)にパスワードが公開されるため、ID フェデレーションを使用するメリットの一部が損なわれます。可能な場合は、トークンベースの認証への移行を検討してください。

vCenter Server 管理インターフェイス

ユーザーが管理者グループのメンバーである場合は、vCenter Server 管理インターフェイス(旧称 vCenter Server Appliance 管理インターフェイス (VAMI))へのアクセスがサポートされます。

AD FS ログイン画面でのユーザー名テキストの入力

AD FS ログイン画面では、ユーザー名テキスト ボックスに事前入力するテキストを渡すことができません。そのため、AD FS を使用したフェデレーション ログイン中に、vCenter Server のトップベージでユーザー名を入力し、AD FS ログイン画面にリダイレクトした後、AD FS ログイン画面でユーザー名を再入力する必要があります。vCenter Server のトップページで入力したユーザー名は、該当する ID プロバイダにログインをリダイレクトするために必要で、AD FS ログイン画面のユーザー名は、AD FS での認証に必要です。AD FS ログイン画面にユーザー名を渡すことができないのは、AD FS の制限です。この動作を vCenter Server から直接設定または変更することはできません。

vCenter ServerID プロバイダ フェデレーションのライフサイクル

vCenter ServerID プロバイダ フェデレーションのライフサイクルを管理する場合は、いくつかの考慮事項があります。

vCenter ServerID プロバイダ フェデレーションのライフサイクルは、次の方法で管理できます。

Active Directory の使用から AD FS への移行

vCenter Serverの ID ソースとして Active Directory を使用している場合、AD FS の使用への移行は簡単です。Active Directory のグループおよびロールが AD FS のグループおよびロールと一致する場合は、追加のアクションを実行する必要はありません。グループおよびロールが一致しない場合は、いくつかの作業を追加で実行する必要があります。vCenter Serverがドメイン メンバーである場合は、ドメインから削除することを検討してください。これは ID フェデレーションでは不要であり、使用されないためです。

ドメイン間再ポイントと移行

vCenter ServerID プロバイダ フェデレーションは、ドメイン間再ポイント(vSphere SSO ドメイン間でのvCenter Server の移動)をサポートしています。再ポイントされた vCenter Serverは、複製された AD FS 設定を vCenter Server システムまたはポイント先システムから受け取ります。

一般的には、次のいずれかの条件に当てはまらないかぎり、ドメイン間再ポイントについて追加の AD FS の再構成を実行する必要はありません。

  1. 再ポイントされた vCenter Serverの AD FS 設定は、ポイントされた vCenter Server の AD FS 設定とは異なります。
  2. これは、再ポイントされた vCenter Serverが AD FS 設定を受け取る最初の時点です。

このような場合は、vCenter Serverシステムのリダイレクト URI を AD FS サーバ上の対応するアプリケーション グループに追加する必要があります。たとえば、AD FS アプリケーション グループ A がある(または AD FS 設定なしの)vCenter Server1 が、AD FS アプリケーション グループ B がある vCenter Server 2 に再ポイントされている場合、vCenter Server 1 のリダイレクト URI をアプリケーション グループ B に追加する必要があります。