vCenter Single Sign-On による vCenter Server の ID ソース

ID ソースを使用すると、vCenter Single Sign-On に 1 つ以上のドメインを接続できます。ドメインは vCenter Single Sign-On サーバがユーザー認証に使用できるユーザーまたはグループのリポジトリです。

注： vSphere 7.0 Update 2 以降では、 vCenter Server で FIPS を有効にできます。『 vSphere のセキュリティ』ドキュメントを参照してください。FIPS が有効な場合、LDAP を介した Active Directory はサポートされません。FIPS モードの場合、外部 ID プロバイダフェデレーションを使用します。 vCenter Server ID プロバイダフェデレーションの設定を参照してください。

管理者は、ID ソースの追加、デフォルトの ID ソースの設定、vsphere.local ID ソースのユーザーおよびグループの作成を実行できます。

ユーザーおよびグループのデータは、Active Directory、OpenLDAP、またはローカルで vCenter Single Sign-On がインストールされたマシンのオペレーティングシステムに格納されます。インストール後、vCenter Single Sign-On のすべてのインスタンスに ID ソース your_domain_name があります（たとえば、vsphere.local など）。この ID ソースは、vCenter Single Sign-On の内部のものです。

注：いかなる場合でも、デフォルトのドメインは 1 つのみ存在します。ユーザーがデフォルト以外のドメインからログインした場合、このユーザーが正常に認証されるためにはドメイン名を追加する必要があります。ドメイン名の形式は次のとおりです。

DOMAIN\user

次の ID ソースが使用可能です。

LDAP 経由の Active DirectoryvCenter Single Sign-On は、LDAP を介した Active Directory の複数の ID ソースをサポートしています。
Active Directory（統合 Windows 認証）バージョン 2003 以降。vCenter Single Sign-On を使用すると、単一の Active Directory ドメインを ID ソースとして指定できます。ドメインに子ドメインを持たせたり、フォレストルートドメインにすることができます。VMware ナレッジベースの記事 KBhttps://kb.vmware.com/s/article/2064250 では、vCenter Single Sign-On でサポートされている Microsoft Active Directory 信頼について解説しています。
OpenLDAP バージョン 2.4 以降。vCenter Single Sign-On は、複数の OpenLDAP ID ソースをサポートしています。

注： Microsoft Windows の更新によって、強力な認証と暗号化を必須とするように Active Directory のデフォルトの動作が変更されました。この変更は、 vCenter Server が Active Directory に対してどのように認証を行うかに影響します。 vCenter Server の ID ソースとして Active Directory を使用する場合は、LDAPS を有効にすることを検討する必要があります。詳細については、 https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/ADV190023 および https://blogs.vmware.com/vsphere/2020/01/microsoft-ldap-vsphere-channel-binding-signing-adv190023.html を参照してください。