拡張リンク モードを使用している vCenter Server 環境で ID プロバイダ フェデレーションを有効にしても、認証とワークフローは以前と同様に機能し続けます。
拡張リンク モード構成を使用する場合は、フェデレーション認証を使用して vCenter Server にログインするときに、次の点に注意してください。
- ユーザーには引き続き同じインベントリが表示され、ユーザーは vCenter Server の権限とロール モデルに基づいて同じアクションを実行できます。
- 拡張リンク モードの vCenter Server ホストは、互いの ID プロバイダにアクセスする必要はありません。たとえば、拡張リンク モードを使用する 2 つの vCenter Server システム A と B を想定します。vCenter Server A で承認されたユーザーは、vCenter Server B でも承認されます。
拡張リンク モードと AD FS
次の図は、拡張リンク モードで AD FS を使用する場合の認証ワークフローを示しています。
- 拡張リンク モード構成では、2 台の vCenter Server ノードがデプロイされます。
- AD FS のセットアップは、vCenter Server A で vSphere Client の [ID プロバイダの変更] ウィザードを使用して設定されています。AD FS のユーザーまたはグループに対するグループ メンバーシップと権限も確立されています。
- vCenter Server A から vCenter Server B に AD FS 設定が複製されます。
- 両方の vCenter Server ノードのすべてのリダイレクト URI が、AD FS の OAuth アプリケーション グループに追加されます。1 つの OAuth アプリケーション グループのみが作成されます。
- ユーザーが vCenter Server A にログインし、承認されると、そのユーザーは vCenter Server B でも承認されます。ユーザーが最初に vCenter Server B にログインした場合も同様です。
AD FS を使用する拡張リンク モード構成シナリオ
vCenter Server 拡張リンク モードは、AD FS の次の構成シナリオをサポートします。このセクションでは、「AD FS 設定」および「AD FS 構成」という用語は、[ID プロバイダの変更] ウィザードを使用して vSphere Client で実行した設定、および AD FS ユーザーまたはグループに対して確立したグループ メンバーシップまたは権限を示しています。
既存の拡張リンク モード構成での AD FS の有効化
手順の概要:
- 拡張リンク モード構成で、N 個の vCenter Server ノードをデプロイします。
- リンクされた vCenter Server ノードのいずれかで AD FS を設定します。
- AD FS 設定が他のすべての (N-1) vCenter Server 個のノードに複製されます。
- N 個すべての vCenter Server ノードのすべてのリダイレクト URI を、AD FS の設定済み OAuth アプリケーション グループに追加します。
新しい vCenter Server から既存の拡張リンク モード AD FS 構成へのリンク
手順の概要:
- (前提条件)vCenter Server の N ノード拡張リンク モード構成で AD FS を設定します。
- 独立した新しい vCenter Server ノードをデプロイします。
- N 個のノードのいずれかをレプリケーション パートナーとして使用して、この新しい vCenter Server を N ノード AD FS 拡張リンク モード ドメインに再ポイントします。
- 既存の拡張リンク モード構成のすべての AD FS 設定が新しい vCenter Server に複製されます。
N ノード AD FS 拡張リンク モード ドメインにある AD FS 設定により、新しくリンクされた vCenter Server の既存の AD FS 設定が上書きされます。
- 新しい vCenter Server に関するすべてのリダイレクト URI を、AD FS の設定済み OAuth アプリケーション グループに追加します。
拡張リンク モードの AD FS 構成からの vCenter Server のリンク解除
手順の概要:
- (前提条件)N ノードの vCenter Server 拡張リンク モード構成で AD FS を設定します。
- N ノード構成のいずれかの vCenter Server ホストを登録解除し、それを新しいドメインに再ポイントすると、N ノード構成からリンクが解除されます。
- ドメインの再ポイント プロセスでは SSO 設定が保持されないため、リンクが解除された vCenter Server ノードのすべての AD FS 設定は元に戻り、失われます。このリンクが解除された vCenter Server ノードで AD FS を引き続き使用するには、AD FS を最初から設定し直すか、すでに AD FS が設定されている拡張リンク モード構成に vCenter Server を再リンクする必要があります。
拡張リンク モードと Okta、Microsoft Entra ID、または PingFederate ID プロバイダ フェデレーション
次の図は、拡張リンク モードで Okta、Microsoft Entra ID、または PingFederate を使用する場合の認証ワークフローを示しています。
- 拡張リンク モード構成では、2 台の vCenter Server ノードがデプロイされます。
- vSphere Client の [ID プロバイダの変更] ウィザードを使用して、vCenter Server A に Okta、Microsoft Entra ID、または PingFederate セットアップが設定されています。また、Okta、Microsoft Entra ID、または PingFederate ユーザーまたはグループに対するグループ メンバーシップと権限も確立されています。
注: vCenter Server A と B の両方で VMware Identity Services が有効になっていますが、ID プロバイダ サーバと通信するのは vCenter Server A の VMware Identity Services のみです。
- vCenter Server A で実行されている VMware Identity Services により、vCenter Server B はそのエンドポイントにアクセスできるようになります。
- vCenter Server A のリダイレクト URI が Okta、Microsoft Entra ID、または PingFederate の OAuth アプリケーションに追加されます。1 つの OAuth アプリケーションのみが作成されます。
- ユーザーが vCenter Server A にログインし、承認されると、そのユーザーは vCenter Server B でも承認されます。ユーザーが最初に vCenter Server B にログインした場合も同様です。
Okta、Microsoft Entra ID、または PingFederate を使用した拡張リンク モード構成のシナリオ
vCenter Server 拡張リンク モードは、Okta、Microsoft Entra ID、および PingFederate の次の構成シナリオをサポートしています。このセクションでは、「Okta 設定」および「Okta 構成」、「Microsoft Entra ID 設定」および「Microsoft Entra ID 構成」、または「PingFederate 設定」および「PingFederate 構成」という用語は、[ID プロバイダの変更] ウィザードを使用して vSphere Client で実行した設定、および Okta、Microsoft Entra ID、または PingFederate ユーザーまたはグループに対して確立したグループ メンバーシップまたは権限を示しています。
既存の拡張リンク モード構成での Okta、Microsoft Entra ID、または PingFederate の有効化
手順の概要:
- 拡張リンク モード構成で、N 個の vCenter Server ノードをデプロイします。
- リンクされた vCenter Server ノードのいずれかで Okta、Microsoft Entra ID、または PingFederate を構成します。
- VMware Identity Services エンドポイントの情報は、他のすべての (N-1) 台の vCenter Server ノードにレプリケートされます。
Okta、Microsoft Entra ID、または PingFederate の構成(共有クライアント ID など)の情報とユーザー/グループの情報はレプリケートされません。
新しい vCenter Server から既存の拡張リンク モードの Okta、Microsoft Entra ID、または PingFederate 構成へのリンク
手順の概要:
- (前提条件)vCenter Server の N ノード拡張リンク モード構成で Okta、Microsoft Entra ID、または PingFederate を設定します。
- 独立した新しい vCenter Server ノードをデプロイします。
- N 台のノードのいずれかをレプリケーション パートナーとして使用して、この新しい vCenter Server を N ノードの Okta、Microsoft Entra ID、または PingFederate 拡張リンク モード ドメインに再ポイントします。
- VMware Identity Services エンドポイントの情報は、他のすべての (N-1) 台の vCenter Server ノードにレプリケートされます。
Okta、Microsoft Entra ID、または PingFederate の構成(共有クライアント ID など)の情報とユーザー/グループの情報はレプリケートされません。
既存の VMware Identity Services 構成を持つ vCenter Server ノードを、VMware Identity Services で構成されていない ELM 構成に追加することはできません。このシナリオでは、vCenter Server から既存の VMware Identity Services 構成を削除してから、ELM 構成に追加します。
拡張リンク モードの Okta、Microsoft Entra ID、または PingFederate 構成からの vCenter Server のリンク解除
手順の概要:
- (前提条件)vCenter Server の N ノード拡張リンク モード構成で Okta、Microsoft Entra ID、または PingFederate を設定します。
- N ノード構成のいずれかの vCenter Server ホストを登録解除し、それを新しいドメインに再ポイントすると、N ノード構成からリンクが解除されます。
- ドメインの再ポイント プロセスでは SSO 設定が保持されないため、リンクが解除された vCenter Server ノードのすべての Okta、Microsoft Entra ID、または PingFederate の設定は元に戻り、失われます。このリンクが解除された vCenter Server ノードで Okta、Microsoft Entra Id、または PingFederate を引き続き使用するには、Okta、Microsoft Entra ID、または PingFederate を最初から構成し直すか、すでに Okta、Microsoft Entra ID、または PingFederate が設定されている拡張リンク モード構成に vCenter Server を再リンクする必要があります。