vCenter Server ID プロバイダ フェデレーションの基本

vSphere 7.0 以降では、vCenter Server はフェデレーション認証をサポートします。このシナリオでは、ユーザーが vCenter Server にログインすると、vCenter Server はユーザー ログインを外部の ID プロバイダにリダイレクトします。ユーザー認証情報が直接 vCenter Server に提供されることはなくなりました。代わりに、ユーザーは外部の ID プロバイダに認証情報を提供します。vCenter Server は、認証を実行するために外部 ID プロバイダを信頼します。フェデレーション モデルでは、ユーザーが認証情報をサービスまたはアプリケーションに直接提供することはなく、ID プロバイダのみに提供します。それにより、vCenter Server などのアプリケーションとサービスを ID プロバイダと「フェデレート」します。

vCenter Server の外部 ID プロバイダのサポート

vCenter Server は、次の外部 D プロバイダをサポートしています。

• AD FS（vSphere 7.0 以降）
• Okta（vSphere 8.0 Update 1 以降）
• Microsoft Entra ID（旧称 Azure AD）（vSphere 8.0 Update 2 以降）
• PingFederate（vSphere 8.0 Update 3）

vCenter Server ID プロバイダ フェデレーションの利点

vCenter Server ID プロバイダ フェデレーションには、次の利点があります。

• 既存のフェデレーション インフラストラクチャおよびアプリケーションで Single Sign-On を使用できます。
• vCenter Server ではユーザーの認証情報が処理されないため、データセンターのセキュリティを高めることができます。
• 外部 ID プロバイダでサポートされている多要素認証などの認証メカニズムを使用できます。

vCenter Server ID プロバイダ フェデレーション アーキテクチャ

vCenter Server と外部 ID プロバイダの間で証明書利用者の信頼を確立するには、識別情報と両者の間の共有シークレット キーを確立する必要があります。vCenter Server は OpenID Connect (OIDC) プロトコルを使用して、vCenter Server に対するユーザー認証を行う ID トークンを受け取ります。

vCenter Server を使用して外部 ID プロバイダを構成する手順の概要は、次のとおりです。

1. OIDC 構成を作成して、vCenter Server と外部 ID プロバイダ間の証明書利用者の信頼を確立します。AD FS の場合は、アプリケーション グループ（またはアプリケーション）を作成します。Okta、Microsoft Entra ID、PingFederate の場合は、サインオン方法として OpenID Connect を使用してネイティブ アプリケーションを作成します。OIDC 構成は、サーバ アプリケーションと Web API で構成されます。この 2 つのコンポーネントは、vCenter Server が外部 ID プロバイダを信頼し、これと通信するために使用する情報を指定します。
2. vCenter Server で対応する ID プロバイダを作成します。
3. 外部 ID プロバイダ ドメイン内のユーザーからのログインを承認するために、vCenter Server でグループ メンバーシップを構成します。

ID プロバイダ 管理者は、vCenter Server ID プロバイダの構成を作成するために次の情報を提供する必要があります。

• クライアント識別子：アプリケーション グループ（またはアプリケーション）の作成時に AD FS で生成され、アプリケーション グループ（またはアプリケーション）を識別する UUID 文字列、または OpenID Connect アプリケーションの作成時に Okta、Microsoft Entra ID、PingFederate で生成される UUID 文字列。
• 共有シークレット キー：アプリケーション グループ（またはアプリケーション）の作成時に AD FS で生成されるシークレット キー、または OpenID Connect アプリケーションの作成時に Okta、Microsoft Entra ID、PingFederate で生成され、外部 ID プロバイダで vCenter Server を認証するために使用されるシークレット キー。
• OpenID アドレス：既知のアドレスを指定する、外部 ID プロバイダ サーバの OpenID Provider Discovery のエンドポイント URL。通常は発行者のエンドポイントにパス /.well-known/openid-configuration を連結したものです。AD FS 構成の OpenID アドレスの例を次に示します。

  https://webserver.example.com/adfs/.well-known/openid-configuration

  同様に、Okta 構成の OpenID アドレスの例を次に示します。

  https://example.okta.com/oauth2/default/.well-known/openid-configuration

  Microsoft Entra ID 構成の OpenID アドレスの例を次に示します。

  https://login.microsoftonline.com/11111111-2222-3333-4444-555555555555/v2.0/.well-known/openid-configuration

  PingFederate 構成の OpenID アドレスの例を次に示します。

  https://pingfederate-fqdn-and-port/.well-known/openid-configuration

VMware Identity Services とフェデレーション認証

vSphere 8.0 Update 1 以降では、VMware Identity Services はフェデレーション ID プロバイダとしての外部 ID プロバイダとの統合を提供します。VMware Identity Services は、vSphere に組み込まれている VMware Workspace ONE の「簡易」バージョンと見なすことができます。

vSphere 8.0 Update 1 以降をインストールするか、このバージョンにアップグレードすると、vCenter Server では VMware Identity Services がデフォルトで有効になります。Okta、Microsoft Entra ID、PingFederate を外部 ID プロバイダとして構成した場合、vCenter Server は VMware Identity Services を使用して Okta、Microsoft Entra ID、PingFederate サーバと通信します。

拡張リンク モード構成の場合、vCenter Server は Okta、Microsoft Entra ID、PingFederate を外部 ID プロバイダとしてサポートします。拡張リンク モード構成では、複数の vCenter Server システムが VMware Identity Services を実行していますが、1 つの vCenter Server と、その VMware Identity Services のみが外部 ID プロバイダ サーバと通信します。たとえば、A、B、C の 3 つの vCenter Server システムが拡張リンク モード構成になっている場合、vCenter Server A で Okta 外部 ID プロバイダを構成すると、vCenter Server A はすべての Okta ログインを処理する唯一のシステムになります。vCenter Server B および vCenter Server C は Okta サーバと直接通信しません。外部 IDP サーバと通信するために、ELM 構成の他の vCenter Server で VMware Identity Services を構成するには、「拡張リンク モード構成での外部 ID プロバイダのアクティベーション プロセス」を参照してください。

VMware Identity Services の認証プロセス

VMware Identity Services を使用して外部 ID プロバイダと通信するように vCenter Server を構成すると、次の認証プロセスが発生します。

1. ユーザーは、vSphere Client を使用して vCenter Server にログインします。
2. vCenter Single Sign-On は、ユーザー認証を委任し、ユーザー要求を VMware Identity Services にリダイレクトします。
3. VMware Identity Services プロセスは、外部 ID プロバイダにトークンを要求して、ユーザー セッションを確立します。
4. 外部 ID プロバイダはユーザーを認証し(多要素認証 (MFA) または SSO 認証情報を使用できます)、トークンを VMware Identity Services に返します。

   トークンには、ユーザー要求が含まれています。

5. VMware Identity Services プロセスは、ID プロバイダ トークンを検証し、対応する VMware Identity Services トークンを生成して、VMware Identity Services トークンを vCenter Single Sign-On に送信します。
6. vCenter Single Sign-On はトークンを検証し、ログイン要求を許可します。

SCIM によってプッシュされたユーザーおよびグループと vCenter Server が通信する方法

外部 ID プロバイダを構成する場合、vCenter Server はユーザーとグループの管理にクロスドメイン ID 管理 (SCIM) のシステムを使用します。SCIM は、ユーザー ID 情報の交換を自動化するためのオープン スタンダードです。vCenter Server にプッシュする外部 ID プロバイダのユーザーとグループは、外部 IDP サーバに作成した SCIM アプリケーションによって管理されます。vCenter Server は、ユーザーおよびグループを検索するときに SCIM を使用して、vCenter Server オブジェクトに権限を割り当てます。

vCenter Server ID プロバイダ フェデレーション コンポーネント

vCenter Server ID プロバイダ フェデレーション構成は、次のコンポーネントで構成されます。

• vCenter Server
  • AD FS の場合：vCenter Server 7.0 以降
  • Okta の場合：vCenter Server 8.0 Update 1 以降
  • Microsoft Entra ID の場合：vCenter Server 8.0 Update 2 以降
  • PingFederate の場合：vCenter Server 8.0 Update 3
• vCenter Server 上に構成された ID プロバイダ サービス
• 外部 ID プロバイダ（AD FS、Okta、Microsoft Entra ID、PingFederate）
• OpenID Connect (OIDC) 構成：
  • AD FS の場合：アプリケーション グループ（別名、アプリケーション）
  • Okta、Microsoft Entra ID、PingFederate の場合：OpenID Connect アプリケーション
• ユーザーおよびグループ管理のためのクロスドメイン ID 管理 (SCIM) アプリケーション（Okta、Microsoft Entra ID、PingFederate の場合のみ）
• vCenter Server グループおよびユーザーにマッピングされる 外部 ID プロバイダ グループおよびユーザー
• vCenter Server で有効になっている VMware Identity Services（Okta、Microsoft Entra ID、PingFederate の場合のみ）
• （オプション）PingFederate の場合、PingFederate サーバの SSL 証明書または証明書チェーン（この証明書が既知のパブリック認証局によって発行されていない場合）。PingFederate SSL 証明書を vCenter Server にインポートします。

認証メカニズム

vCenter Server の ID プロバイダ フェデレーション設定では、外部 ID プロバイダは、認証メカニズム（パスワード、多要素認証 (MFA)、生体認証など）を処理します。

AD FS および単一の Active Directory ドメインのサポート

AD FS の vCenter Server ID プロバイダ フェデレーションを構成する際に、メイン ID プロバイダの構成ウィザードで、vCenter Server にアクセスするユーザーとグループを含む単一 Active Directory ドメインの LDAP 情報を入力するよう要求されます。vCenter Server は、ウィザードで指定したユーザー ベース DN から、認可と権限に使用する Active Directory ドメインを導出します。vSphere オブジェクトに対する権限は、この Active Directory ドメインのユーザーおよびグループに対してのみ追加できます。Active Directory の子ドメインまたは Active Directory フォレスト内の他のドメインのユーザーまたはグループは、vCenter Server ID プロバイダ フェデレーションではサポートされません。

Okta、Microsoft Entra ID、および PingFederate による複数ドメインのサポート

Okta、Microsoft Entra ID、または PingFederate の vCenter Server ID プロバイダ フェデレーションを構成する際に、メイン ID プロバイダの構成ウィザードで、vCenter Server にアクセスするユーザーとグループを含む複数のドメインの LDAP 情報を入力することができます。

パスワード、ロックアウト、およびトークン ポリシー

vCenter Server が ID プロバイダとして機能する場合は、デフォルト ドメイン（vsphere.local、または vSphere のインストール時に入力したドメイン名）の vCenter Server パスワード、ロックアウト、およびトークン ポリシーを制御します。vCenter Server でフェデレーション認証を使用する場合は、Active Directory などの ID ソースに保存されているアカウントのパスワード、ロックアウト、およびトークン ポリシーを外部 ID プロバイダが制御します。

監査とコンプライアンス

vCenter Server ID プロバイダ フェデレーションを使用している場合、成功したユーザー ログインについては、vCenter Server でログ エントリが引き続き作成されます。ただし、パスワード入力の失敗やユーザー アカウントのロックアウトなどのアクションは、外部 ID プロバイダが追跡してログに記録します。このようなイベントは vCenter Server で認識されなくなるため、vCenter Server ではログに記録されません。たとえば、AD FS が ID プロバイダの場合は、AD FS がフェデレーション ログインのエラーを追跡してログに記録します。vCenter Server がローカル ログインの ID プロバイダである場合は、vCenter Server がローカル ログインのエラーを追跡してログに記録します。フェデレーション構成では、vCenter Server はログイン後のユーザー アクションを引き続きログに記録します。

外部 ID プロバイダと既存の VMware 製品の統合

vCenter Server と統合された VMware 製品（VMware Aria Operations、vSAN、NSX など）は、引き続き以前と同様に動作します。

ログイン後に統合される製品

ログイン後に統合される製品（別途ログインする必要がない）は、引き続き以前と同様に動作します。

API、SDK、および CLI アクセスのための単純な認証

単純な認証（ユーザー名とパスワード）を使用する API、SDK、または CLI コマンドに基づく既存のスクリプト、製品、およびその他の機能は引き続き動作します。内部的には、ユーザー名とパスワードを渡して認証が行われます。ユーザー名とパスワードを渡すこの行為により、vCenter Server（およびスクリプト）にパスワードが公開されるため、ID フェデレーションを使用するメリットの一部が損なわれます。可能な場合は、トークンベースの認証への移行を検討してください。

vCenter Server 管理インターフェイスへのアクセス

ユーザーが vCenter Server 管理者グループのメンバーである場合は、vCenter Server 管理インターフェイス（旧称 vCenter Server Appliance 管理インターフェイス (VAMI)）へのアクセスがサポートされます。

AD FS ログイン画面でのユーザー名テキストの入力

AD FS ログイン画面では、ユーザー名テキスト ボックスに事前入力するテキストを渡すことができません。そのため、AD FS を使用したフェデレーション ログイン中に、vCenter Server のトップベージでユーザー名を入力し、AD FS ログイン画面にリダイレクトした後、AD FS ログイン画面でユーザー名を再入力する必要があります。vCenter Server のトップページで入力したユーザー名は、該当する ID プロバイダにログインをリダイレクトするために必要で、AD FS ログイン画面のユーザー名は、AD FS での認証に必要です。AD FS ログイン画面にユーザー名を渡すことができないのは、AD FS の制限です。この動作を vCenter Server から直接設定または変更することはできません。

IPv6 アドレスのサポート

AD FS、Microsoft Entra ID、および Ping Federate は IPv6 アドレスをサポートしています。Okta は IPv6 アドレスをサポートしていません。

VMware Identity Services の単一インスタンス構成

デフォルトでは、vSphere 8.0 Update 1 以降をインストールするか、このバージョンにアップグレードすると、vCenter Server で VMware Identity Services が有効になります。拡張リンク モード構成で Okta、Microsoft Entra ID、または PingFederate を構成する場合は、単一の vCenter Server システムで VMware Identity Services を使用します。たとえば、3 つの vCenter Server システムで構成されている拡張モード リンク構成で Okta を使用する場合、Okta サーバとの通信には、1 つの vCenter Server と VMware Identity Services のインスタンスのみが使用されます。

プライマリ ネットワーク ID の再構成

vCenter Server のプライマリ ネットワーク識別子 (PNID) を再構成するには、次のように外部 ID プロバイダの構成を更新する必要があります。

• AD FS：新しいリダイレクト URI が AD FS サーバに追加されます。
• Okta: Okta が再構成されます。Okta に対する vCenter Server ID プロバイダ フェデレーションの構成を参照して、vCenter Server に ID プロバイダを作成する手順を実行してください。
• Microsoft Entra ID：Entra ID を再構成します。Microsoft Entra ID に対する vCenter Server ID プロバイダ フェデレーションの構成を参照して、vCenter Server に ID プロバイダを作成する手順を実行してください。
• PingFederate：PingFederate を再構成します。PingFederate に対する vCenter Server ID プロバイダ フェデレーションの構成を参照して、vCenter Server に ID プロバイダを作成する手順を実行してください。

Active Directory を使用する方法から既存の ID プロバイダを使用する方法への移行

vCenter Server の ID ソースとして Active Directory を使用している場合、外部 ID プロバイダを使用する方法への移行は簡単です。Active Directory のグループおよびロールが ID プロバイダのグループおよびロールと一致する場合は、追加のアクションを実行する必要はありません。グループおよびロールが一致しない場合は、いくつかの作業を追加で実行する必要があります。vCenter Server がドメイン メンバーである場合は、ドメインから削除することを検討してください。これは ID フェデレーションでは不要であり、使用されないためです。

ドメイン間再ポイントと移行

vCenter Server ID プロバイダ フェデレーションは、ドメイン間再ポイント（vSphere SSO ドメイン間での vCenter Server の移動）をサポートしています。再ポイントされた vCenter Server は、複製された ID プロバイダ構成を vCenter Server システムまたはポイント先システムから受け取ります。

一般的には、次のいずれかの条件に当てはまらないかぎり、ドメイン間再ポイントについて追加の ID プロバイダの再構成を実行する必要はありません。

1. 再ポイントされた vCenter Server の ID プロバイダ構成は、ポイントされた vCenter Server の ID プロバイダ構成とは異なります。
2. これは、再ポイントされた vCenter Server が ID プロバイダ構成を受け取る最初の時点です。

これらの場合、いくつかの追加作業が必要です。たとえば、AD FS では、vCenter Server システムのリダイレクト URI を AD FS サーバ上の対応するアプリケーション グループに追加する必要があります。たとえば、AD FS アプリケーション グループ A がある（または AD FS 設定なしの）vCenter Server 1 が、AD FS アプリケーション グループ B がある vCenter Server 2 に再ポイントされている場合、vCenter Server 1 のリダイレクト URI をアプリケーション グループ B に追加する必要があります。

ユーザーとグループの同期および vCenter Server のバックアップとリストア

ユーザーとグループを vCenter Server と同期するタイミング、および vCenter Server をバックアップするタイミングによっては、vCenter Server をリストアするときに、SCIM によってプッシュされた ユーザーとグループの再同期が必要になる場合があります。

削除したユーザーまたはグループをリストアする際に、ユーザーまたはグループを外部 ID プロバイダから vCenter Server にプッシュすることはできません。見つからないユーザーまたはグループを使用して、外部 ID プロバイダの SCIM 2.0 アプリケーションを更新する必要があります。削除された SCIM ユーザーおよびグループのリストアを参照してください。