拡張リンク モードを使用している vCenter Server 環境で ID プロバイダ フェデレーションを有効にしても、認証とワークフローは以前と同様に機能し続けます。

拡張リンク モード構成を使用する場合は、フェデレーション認証を使用して vCenter Server にログインするときに、次の点に注意してください。

  • ユーザーには引き続き同じインベントリが表示され、ユーザーは vCenter Server の権限とロール モデルに基づいて同じアクションを実行できます。
  • 拡張リンク モードの vCenter Server ホストは、互いの ID プロバイダにアクセスする必要はありません。たとえば、拡張リンク モードを使用する 2 つの vCenter Server システム A と B を想定します。vCenter Server A で承認されたユーザーは、vCenter Server B でも承認されます。

拡張リンク モードと AD FS

次の図は、拡張リンク モードで AD FS を使用する場合の認証ワークフローを示しています。

図 1. 拡張リンク モードと AD FS ID プロバイダ フェデレーション
この図は、拡張リンク モードを使用している vCenter Server と AD FS のやり取りを示しています。
  1. 拡張リンク モード構成では、2 台の vCenter Server ノードがデプロイされます。
  2. AD FS のセットアップは、vCenter Server A で vSphere Client の [ID プロバイダの変更] ウィザードを使用して設定されています。AD FS のユーザーまたはグループに対するグループ メンバーシップと権限も確立されています。
  3. vCenter Server A から vCenter Server B に AD FS 設定が複製されます。
  4. 両方の vCenter Server ノードのすべてのリダイレクト URI が、AD FS の OAuth アプリケーション グループに追加されます。1 つの OAuth アプリケーション グループのみが作成されます。
  5. ユーザーが vCenter Server A にログインし、承認されると、そのユーザーは vCenter Server B でも承認されます。ユーザーが最初に vCenter Server B にログインした場合も同様です。

AD FS を使用する拡張リンク モード構成シナリオ

vCenter Server 拡張リンク モードは、AD FS の次の構成シナリオをサポートします。このセクションでは、「AD FS 設定」および「AD FS 構成」という用語は、[ID プロバイダの変更] ウィザードを使用して vSphere Client で実行した設定、および AD FS ユーザーまたはグループに対して確立したグループ メンバーシップまたは権限を示しています。

既存の拡張リンク モード構成での AD FS の有効化

手順の概要:

  1. 拡張リンク モード構成で、N 個の vCenter Server ノードをデプロイします。
  2. リンクされた vCenter Server ノードのいずれかで AD FS を設定します。
  3. AD FS 設定が他のすべての (N-1) vCenter Server 個のノードに複製されます。
  4. N 個すべての vCenter Server ノードのすべてのリダイレクト URI を、AD FS の設定済み OAuth アプリケーション グループに追加します。

新しい vCenter Server から既存の拡張リンク モード AD FS 構成へのリンク

手順の概要:

  1. (前提条件)vCenter Server の N ノード拡張リンク モード構成で AD FS を設定します。
  2. 独立した新しい vCenter Server ノードをデプロイします。
  3. N 個のノードのいずれかをレプリケーション パートナーとして使用して、この新しい vCenter Server を N ノード AD FS 拡張リンク モード ドメインに再ポイントします。
  4. 既存の拡張リンク モード構成のすべての AD FS 設定が新しい vCenter Server に複製されます。

    N ノード AD FS 拡張リンク モード ドメインにある AD FS 設定により、新しくリンクされた vCenter Server の既存の AD FS 設定が上書きされます。

  5. 新しい vCenter Server に関するすべてのリダイレクト URI を、AD FS の設定済み OAuth アプリケーション グループに追加します。

拡張リンク モードの AD FS 構成からの vCenter Server のリンク解除

手順の概要:

  1. (前提条件)N ノードの vCenter Server 拡張リンク モード構成で AD FS を設定します。
  2. N ノード構成のいずれかの vCenter Server ホストを登録解除し、それを新しいドメインに再ポイントすると、N ノード構成からリンクが解除されます。
  3. ドメインの再ポイント プロセスでは SSO 設定が保持されないため、リンクが解除された vCenter Server ノードのすべての AD FS 設定は元に戻り、失われます。このリンクが解除された vCenter Server ノードで AD FS を引き続き使用するには、AD FS を最初から設定し直すか、すでに AD FS が設定されている拡張リンク モード構成に vCenter Server を再リンクする必要があります。

拡張リンク モードと Okta や Azure AD ID プロバイダ フェデレーション

次の図は、拡張リンク モードで Okta または Azure AD を使用する場合の認証ワークフローを示しています。

図 2. 拡張リンク モードと Okta または Azure AD ID プロバイダ フェデレーション この図は、拡張リンク モードを使用する vCenter Server システムと Okta または Azure AD の連携方法を示しています。
注: Okta または Azure AD を外部 ID プロバイダとして構成する場合、拡張リンク モード構成のすべての vCenter Server システムで vSphere 8.0 Update 1 以降(Okta の場合)および vSphere 8.0 Update 2(Azure AD の場合)を実行する必要があります。
  1. 拡張リンク モード構成では、2 台の vCenter Server ノードがデプロイされます。
  2. Okta または Azure AD セットアップは、vCenter Server A で vSphere Client の [ID プロバイダの変更] ウィザードを使用して設定されています。Okta または Azure AD のユーザーまたはグループに対するグループ メンバーシップと権限も確立されています。
    注: vCenter Server A と B の両方で VMware Identity Services が有効になっていますが、Okta または Azure AD サーバと通信するのは vCenter Server A の VMware Identity Services のみです。
  3. vCenter Server で実行されている VMware Identity Services により、vCenter Server B はそのエンドポイントにアクセスできるようになります。
  4. vCenter Server A のリダイレクト URI が Okta または Azure AD の OAuth アプリケーションに追加されます。1 つの OAuth アプリケーションのみが作成されます。
  5. ユーザーが vCenter Server A にログインし、承認されると、そのユーザーは vCenter Server B でも承認されます。ユーザーが最初に vCenter Server B にログインした場合も同様です。

Okta または Azure AD を使用する拡張リンク モード構成シナリオ

vCenter Server 拡張リンク モードは、Okta または Azure AD の次の構成シナリオをサポートします。このセクションでは、「Okta 設定」および「Okta 構成」または「Azure AD 設定」および「Azure AD 構成」という用語は、[ID プロバイダの変更] ウィザードを使用して vSphere Client で実行した設定、および Okta や Azure AD のユーザーまたはグループに対して確立したグループ メンバーシップまたは権限を示しています。

既存の拡張リンク モード構成での Okta または Azure AD の有効化

手順の概要:

  1. 拡張リンク モード構成で、N 個の vCenter Server ノードをデプロイします。
  2. リンクされた vCenter Server ノードのいずれかで Okta または Azure AD を構成します。
  3. VMware Identity Services 情報エンドポイントは、他のすべての (N-1) vCenter Server ノードにレプリケートされます。

    Okta または Azure AD の構成(共有クライアント ID など)の情報とユーザー/グループの情報はレプリケートされません。

新しい vCenter Server から既存の拡張リンク モード Okta または Azure AD 構成へのリンク

手順の概要:

  1. (前提条件)vCenter Server の N ノード拡張リンク モード構成で Okta または Azure AD を設定します。
  2. 独立した新しい vCenter Server ノードをデプロイします。
  3. N 個のノードのいずれかをレプリケーション パートナーとして使用して、この新しい vCenter Server を N ノード Okta または Azure AD 拡張リンク モード ドメインに再ポイントします。
  4. VMware Identity Services 情報エンドポイントは、他のすべての (N-1) vCenter Server ノードにレプリケートされます。

    Okta または Azure AD の構成(共有クライアント ID など)の情報とユーザー/グループの情報はレプリケートされません。

注: 追加されている vCenter Server ノードに既存の VMware Identity Services 構成がある場合、この構成は、参加している VMware Identity Services 拡張リンク モード構成に置き換えられます。追加されている vCenter Server ノード上の関連する証明書利用者はすべて削除されます。

拡張リンク モードの Okta または Azure AD 構成からの vCenter Server のリンク解除

手順の概要:

  1. (前提条件)vCenter Server の N ノード拡張リンク モード構成で Okta または Azure AD を設定します。
  2. N ノード構成のいずれかの vCenter Server ホストを登録解除し、それを新しいドメインに再ポイントすると、N ノード構成からリンクが解除されます。
  3. ドメインの再ポイント プロセスでは SSO 設定が保持されないため、リンクが解除された vCenter Server ノードのすべての Okta または Azure AD の設定は元に戻り、失われます。このリンクが解除された vCenter Server ノードで Okta または Azure AD を引き続き使用するには、Okta または Azure AD を最初から設定し直すか、すでに Okta または Azure AD が設定されている拡張リンク モード構成に vCenter Server を再リンクする必要があります。
注: vCenter Server とアクティブな VMware Identity Services 構成のリンクを解除することはできません。