vCenter Single Sign-Onを使用すると、vSphere コンポーネントの安全なトークン メカニズムを介した相互通信が可能になります。

vCenter Single Sign-Onは次のサービスを使用します。
  • 外部 ID プロバイダ フェデレーションまたはvCenter Server組み込み ID プロバイダを介したユーザーの認証。組み込み ID プロバイダでは、ローカル アカウント、Active Directory または OpenLDAP、統合 Wiindows 認証 (IWA)、その他の認証メカニズム(スマート カード、RSA SecurID、および Windows セッション認証)がサポートされます。
  • 証明書を介したソリューション ユーザー認証。
  • Security Token Service (STS)。
  • トラフィックを保護するための SSL。

ID プロバイダの概要

vSphere 7.0 よりも前のvCenter Serverには、組み込み ID プロバイダが含まれています。デフォルトでは、vCenter Serverでは ID ソースとして vsphere.local ドメインが使用されます。ただし、これはインストール時に変更できます。LDAP/S、OpenLDAP/S、および統合 Wiindows 認証 (IWA) を使用して、vCenter Server組み込み ID プロバイダが ID ソースとして Active Directory (AD) を使用するように設定できます。この設定では、ユーザーは AD アカウントを使用して vCenter Serverにログインできます。

vSphere 7.0 以降では、統合認証を使用して外部 ID プロバイダのvCenter Serverを構成できます。この設定では、vCenter Serverを ID プロバイダとして置き換えます。現在、vSphere では Active Directory フェデレーション サービス (AD FS) が外部 ID プロバイダとしてサポートされています。この設定では、AD FS は vCenter Serverに代わって ID ソースと通信します。

vCenter ServerID プロバイダ フェデレーション認証を使用したユーザー ログイン

次の図に、vCenter ServerID プロバイダ フェデレーションのユーザー ログイン フローを示します。

図 1. vCenter ServerID プロバイダ フェデレーション ユーザー ログイン

この図は、ID プロバイダ フェデレーションを使用して vCenter Server にログインするユーザーのプロセス フローを示しています。

vCenter Server、AD FS、および Active Directory は、次のようにやりとりを行います。

  1. ユーザーが vCenter Serverのトップ ページでユーザー名を入力することで、フローが開始されます。
  2. ユーザー名がフェデレーション ドメイン用の場合、vCenter Serverは認証要求を AD FS にリダイレクトします。
  3. 必要に応じて、Active Directory 認証情報を使用してログインするようにユーザーに求めます。
  4. AD FS が Active Directory を使用してユーザーを認証します。
  5. AD FS が Active Directory からのグループ情報を含むセキュリティ トークンを発行します。
  6. vCenter Serverがトークンを使用してユーザーをログインさせます。
これで、ユーザーは認証を受け、自分のロールに権限があるすべてのオブジェクトを表示および変更できます。
注: まず、各ユーザーにアクセスなしロールが割り当てられます。 vCenter Serverの管理者は、ユーザーがログインできるように少なくとも読み取り専用ロールを割り当てる必要があります。『 vSphere のセキュリティ』ドキュメントを参照してください。

外部 ID プロバイダにアクセスできない場合、ログイン プロセスはvCenter Serverのトップ ページに戻り、適切な情報メッセージが表示されます。ユーザーは、引き続き vsphere.local ID ソースのローカル アカウントを使用してログインできます。

vCenter Server組み込み ID プロバイダを使用したユーザー ログイン

次の図に、vCenter Serverが ID プロバイダとして機能する場合のユーザー ログイン フローを示します。

図 2. vCenter Server組み込み ID プロバイダを使用したユーザー ログイン
ユーザーが vSphere Client にログインすると、Single Sign-On サーバによって認証ハンドシェイクが確立されます。
  1. ユーザーは、vCenter Serverシステムや別の vCenter サービスにアクセスするためのユーザー名とパスワードで、vSphere Client にログインします。

    統合 Wiindows 認証 (IWA) が設定されている場合、ユーザーは [Windows セッション認証を使用する] チェックボックスを選択することで、Windows パスワードを再入力しなくてもログインできます。

  2. vSphere Clientは、ログイン情報を vCenter Single Sign-On サービスに渡します。このサービスにより、vSphere Client の SAML トークンがチェックされます。vSphere Clientに有効なトークンがある場合、vCenter Single Sign-On により、ユーザーが構成済み ID ソース (Active Directory など) に存在するかどうかがチェックされます。
    • ユーザー名のみが使用されている場合は、vCenter Single Sign-Onによってデフォルト ドメイン内がチェックされます。
    • ドメイン名がユーザー名に含まれている場合(DOMAIN\user1 または user1@DOMAIN)、vCenter Single Sign-On によってそのドメインがチェックされます。
  3. ユーザーが ID ソースの認証を受けることができる場合、そのユーザーを vSphere Clientに示すトークンが vCenter Single Sign-On によって返されます。
  4. vSphere Clientはトークンを vCenter Server システムに渡します。
  5. vCenter Serverは、トークンが有効で期限切れになっていないことを、vCenter Single Sign-On サーバでチェックします。
  6. vCenter Single Sign-Onサーバにより、トークンが vCenter Server システムに返され、vCenter Server 認可フレームワークを使用してユーザーのアクセスを許可します。
これで、ユーザーは認証を受け、自分のロールに権限があるすべてのオブジェクトを表示および変更できます。
注: まず、各ユーザーにアクセスなしロールが割り当てられます。 vCenter Serverの管理者は、ユーザーがログインできるように少なくとも読み取り専用ロールを割り当てる必要があります。『 vSphere のセキュリティ』ドキュメントを参照してください。

ソリューション ユーザーのログイン

ソリューション ユーザーとは、vCenter Serverインフラストラクチャで使用されるサービスのセット(vCenter Server の拡張機能など)です。VMware の拡張機能や、場合によってはサードパーティ製拡張機能も vCenter Single Sign-Onの認証を受けることができます。

注: vCenter Serverでは、ソリューション ユーザー証明書は内部での通信にのみ使用されます。ソリューション ユーザー証明書は、外部との通信には使用されません。

次の図に、ソリューション ユーザーのログイン フローを示します。

図 3. ソリューション ユーザーのログイン
ソリューション ユーザー、vCenter Single Sign-On、その他の vCenter コンポーネント間のハンドシェイクは、下記の手順に従います。
  1. ソリューション ユーザーが vCenter Serverサービスへの接続を試みます。
  2. ソリューション ユーザーはvCenter Single Sign-Onにリダイレクトされます。ソリューション ユーザーが vCenter Single Sign-Onを初めて使用する場合、有効な証明書を提供する必要があります。
  3. 証明書が有効であれば、vCenter Single Sign-Onは SAML トークン(ベアラ トークン)をソリューション ユーザーに割り当てます。このトークンは、vCenter Single Sign-Onによって署名されます。
  4. ソリューション ユーザーは vCenter Single Sign-Onにリダイレクトされ、そのアクセス許可に基づいてタスクを実行できます。

    次にソリューション ユーザーが認証を受ける必要があるときは、SAML トークンを使用して vCenter Serverにログインできます。

デフォルトでは、起動時に VMCA からソリューション ユーザーに証明書がプロビジョニングされるため、このハンドシェイクは自動的に行われます。会社のポリシーで、サードパーティ CA 署名付き証明書が求められる場合、ソリューション ユーザー証明書をサードパーティ CA 署名付き証明書に置き換えることができます。これらの証明書が有効であれば、vCenter Single Sign-Onは SAML トークンをソリューション ユーザーに割り当てます。CLI を使用したカスタム証明書による証明書の置き換えを参照してください。

サポートされている暗号化

最高レベルの暗号化である AES 暗号化がサポートされています。サポートされている暗号化は、vCenter Single Sign-Onが ID ソースとして Active Directory を使用するときにセキュリティに影響します。

また、ESXiホストまたは vCenter Server が Active Directory に参加するときにもセキュリティに影響を与えます。