vSphere 8.0 Update 2 以降をインストールするか、vSphere 8.0 Update 2 以降にアップグレードした後、Microsoft Entra ID(旧称 Azure AD)に対して vCenter Server ID プロバイダ フェデレーションを外部 ID プロバイダとして構成できます。
vCenter Server は、1 つの構成されている外部 ID プロバイダ(1 つのソース)と、vsphere.local ID ソース(ローカル ソース)のみをサポートします。複数の外部 ID プロバイダを使用することはできません。vCenter Server ID プロバイダ フェデレーションは、vCenter Server へのユーザー ログインに OpenID Connect (OIDC) を使用します。
vCenter Server のグローバル権限またはオブジェクト権限による Microsoft Entra ID グループとユーザーを使用して権限を構成できます。権限の追加の詳細については、ドキュメント『vSphere のセキュリティ』を参照してください。
構成プロセスの詳細説明については、次のビデオを参照してください。
vCenter Authentication: AzureAD/Entra ID integration | vSphere 8 Update 2
前提条件
Microsoft Entra ID の要件:
- Microsoft のユーザーであり、Microsoft Entra ID アカウントを持っている必要があります。
Microsoft Entra ID の接続要件:
- サインオン方式として OpenID Connect を使用するエンタープライズ(ギャラリー以外の)アプリケーションを作成しておく必要があります。
- 作成されたアプリケーションの付与タイプとして、認可コード、リフレッシュ トークン、リソース所有者パスワードを追加します。
- ユーザーとグループを同期するには、OAuth 2.0 ベアラー トークンを使用して、Microsoft Entra ID における SCIM 2.0 のプロビジョニング用の VMware Identity Services ギャラリー アプリケーションを構成する必要があります。
vCenter Server の要件:
- vSphere 8.0 Update 2 以降で、VMware Identity Services が有効になっている必要があります(デフォルトで有効になっています)。
- Microsoft Entra ID ID ソースを作成する vCenter Server で、VMware Identity Services が有効になっていることを確認します。
- ID プロバイダからユーザーとグループが vCenter Server にプロビジョニングされている必要があります。
vSphere の権限の要件:
- フェデレーション認証に必要な vCenter Server ID プロバイダを作成、更新、削除するには、[VcIdentityProviders.Manage] 権限が必要です。ユーザーが ID プロバイダの構成情報のみを表示するように制限するには、[VcIdentityProviders.Read] 権限を割り当てます。
拡張リンク モードの要件:
- 拡張リンク モード構成では、Microsoft Entra ID に対する vCenter Server ID プロバイダ フェデレーションを構成できます。拡張リンク モード構成で Microsoft Entra ID を構成する場合は、単一の vCenter Server システムで VMware Identity Services を使用するように Microsoft Entra ID ID プロバイダを構成します。たとえば、拡張リンク モード構成が 2 つの vCenter Server システムで構成されている場合、Microsoft Entra ID サーバとの通信には 1 台の vCenter Server とその VMware Identity Services のインスタンスが使用されます。この vCenter Server システムが使用できなくなった場合、ELM 構成内の他の vCenter Server システム上の VMware Identity Services を Microsoft Entra ID サーバと連携させるように構成できます。詳細については、拡張リンク モード構成での外部 ID プロバイダのアクティベーション プロセスを参照してください。
- Microsoft Entra ID を外部 ID プロバイダとして構成する場合、拡張リンク モード構成のすべての vCenter Server システムでは vSphere 8.0 Update 2 以降を実行する必要があります。
ネットワークの要件:
- ネットワークが公開されていない場合は、vCenter Server システムと Microsoft Entra ID サーバの間にネットワーク トンネルを作成し、パブリックにアクセス可能な適切な URL をベース URI として使用します。
手順
- Microsoft Entra ID で OpenID Connect アプリケーションを作成し、グループとユーザーを OpenID Connect アプリケーションに割り当てます。
OpenID Connect アプリケーションを作成してグループとユーザーを割り当てるには、VMware ナレッジベースの記事 (
https://kb.vmware.com/s/article/94182) を参照してください。「Create the OpenID Connect Application」セクションの手順に従います。OpenID Connect アプリケーションを作成したら、Microsoft Entra ID OpenID Connect アプリケーションから以下の情報をファイルにコピーして、次の手順で
vCenter Server ID プロバイダを構成するときに使用します。
- クライアント識別子
- クライアント シークレット(vSphere Client では共有シークレットとして表示)。
- Active Directory ドメイン情報または Microsoft Entra ID ドメイン情報(Active Directory を実行していない場合)。
- vCenter Server で ID プロバイダを作成するには、次の手順を実行します。
- vSphere Client を使用して、vCenter Server に管理者としてログインします。
- の順に移動します。
- [プロバイダの変更] をクリックし、[Microsoft Entra ID] を選択します。
[メイン ID プロバイダの構成] ウィザードが開きます。
- [前提条件] パネルで、Microsoft Entra ID と vCenter Server の要件を確認します。
- [事前チェックを実行] をクリックします。
事前チェックでエラーが検出された場合は、
[詳細表示] をクリックしてエラーを解決する手順を実行します。
- 事前チェックが終了したら、確認のチェック ボックスをオンにして、[次へ] をクリックします。
- [ディレクトリ情報] パネルで、次の情報を入力します。
- [次へ] をクリックします。
- [OpenID Connect] パネルで、次の情報を入力します。
- [次へ] をクリックします。
- 情報を確認し、[終了] をクリックします。
vCenter Server で Microsoft Entra ID ID プロバイダが作成されて、構成情報が表示されます。
- 必要に応じて、下にスクロールして [リダイレクト URI] の [コピー] アイコンをクリックし、ファイルに保存します。
Microsoft Entra ID OpenID Connect アプリケーションでは、このリダイレクト URI を使用します。
- [テナント URL] の [コピー] アイコンをクリックして、ファイルに保存します。
注: ネットワークが公開されていない場合は、
vCenter Server システムと Microsoft Entra ID サーバの間にネットワーク トンネルを作成する必要があります。ネットワーク トンネルを作成したら、パブリックにアクセス可能な適切な URL をベース URI として使用します。
- [ユーザー プロビジョニング] で [生成] をクリックしてシークレット トークンを作成し、ドロップダウンからトークンの有効期間を選択してから、[クリップボードにコピー] をクリックします。トークンを安全な場所に保存します。
Microsoft Entra ID SCIM 2.0 アプリケーションでは、このテナント URL とトークンを使用します。Microsoft Entra ID SCIM 2.0 アプリケーションではトークンを使用して、Microsoft Entra ID のユーザーとグループを VMware Identity Services に同期します。この情報は、Microsoft Entra ID のユーザーとグループを Microsoft Entra ID から
vCenter Server にプッシュするために必要です。
- VMware ナレッジベースの記事 (https://kb.vmware.com/s/article/94182) に戻って Microsoft Entra ID のリダイレクト URI を更新します。
「Update the Azure AD Redirect URI」セクションの手順に従います。
- SCIM 2.0 アプリケーションを作成するには、VMware ナレッジベースの記事 (https://kb.vmware.com/s/article/94182) を引き続き参照します。
「Create the SCIM 2.0 Application and Push Users and Groups to vCenter Server」セクションの手順に従います。
ナレッジベースの記事の説明に従って SCIM 2.0 アプリケーションの作成が完了したら、次の手順に進みます。
- Microsoft Entra ID を認可するためのグループ メンバーシップを vCenter Server で構成します。
Microsoft Entra ID ユーザーが
vCenter Server にログインする前に、グループ メンバーシップを構成する必要があります。
- vSphere Client で、ローカル管理者としてログインしているときに、 の順に移動します。
- [グループ] タブをクリックします。
- [管理者] グループをクリックして、[メンバーの追加] をクリックします。
- ドロップダウン メニューから追加する Microsoft Entra ID グループのドメイン名を選択します。
- ドロップダウン メニューの下のテキスト ボックスに、追加する Microsoft Entra ID グループの最初の数文字を入力し、ドロップダウンの選択肢が表示されるまで待ちます。
- Microsoft Entra ID グループを選択し、管理者グループに追加します。
- [保存] をクリックします。
- Microsoft Entra ID ユーザーで vCenter Server にログインしていることを確認します。
- インベントリレベルおよびグローバル権限を Microsoft Entra ID ユーザーに割り当てるには、『vSphere のセキュリティ』ドキュメントで vCenter Server コンポーネントの権限の管理に関するトピックを参照してください。
