VMware Identity Services の停止および開始、SCIM トークンの再生成、削除された SCIM ユーザーおよびグループのリストアを行うことができます。

タスクに応じて、vSphere Client または外部 ID プロバイダの管理コンソールのいずれかを使用します。

VMware Identity Services の停止と起動

Okta、Microsoft Entra ID(旧称 Azure AD)、PingFederate を外部 ID プロバイダとして構成して実行するには、vCenter Server で VMware Identity Services を起動する必要があります。デフォルトでは、vSphere 8.0 Update 1 以降をインストールするか、このバージョンにアップグレードすると、VMware Identity Services が起動します。vCenter Server 管理インターフェイスを使用して、VMware Identity Services を管理します。

バージョン 8.0 Update 1 以降、 vSphere には、Okta に対する認証をサポートする VMware Identity Services が組み込まれています。バージョン 8.0 Update 2 以降、VMware Identity Services では Microsoft Entra ID に対する認証がサポートされます。バージョン 8.0 Update 3 以降、VMware Identity Services では PingFederate に対する認証がサポートされます。

前提条件

vSphere 8.0 Update 1 以降をインストールまたはアップグレードすると、VMware Identity Services が自動的に開始されます。Okta、Microsoft Entra ID、PingFederate を外部 ID プロバイダとして構成する場合、VMware Identity Services はすでに実行されているため、起動する必要はありません。VMware Identity Services を起動または停止するには、root ユーザーである必要があります。

外部 ID プロバイダは、単一の vCenter Server でのみ構成します。この vCenter Server は、VMware Identity Services のインスタンスを介して ID プロバイダと通信します。拡張リンク モード構成の他の vCenter Server システムでも VMware Identity Services は実行されていますが、ID プロバイダと直接通信するわけではありません。

手順

  1. Web ブラウザで、vCenter Server 管理インターフェイス (https://vcenter-IP-address-or-FQDN:5480) に移動します。
  2. root としてログインします。
    デフォルトの root パスワードは、 vCenter Server のデプロイ時に設定したパスワードです。
  3. [[サービス]] を選択します。
  4. VMware Identity Services のステータスを確認します。
  5. サービスを停止または起動するには、[VMware Identity Services] を選択し、[停止] または [起動] をクリックします。
    VMware Identity Services を起動した後、 vCenter Server を再起動する必要はありません。

vCenter Server での SCIM トークンの再生成

vCenter Server では、外部 ID プロバイダに対するクロスドメイン ID 管理 (SCIM) のシステムのトークンを再生成できます。

別のトークンを生成すると、すぐにアクティブになり、以前のトークンは失効します。

前提条件

vCenter Server で外部 ID プロバイダを作成しておく必要があります。

手順

  1. vSphere Client を使用して管理者として vCenter Server にログインします。
  2. [構成] ユーザー インターフェイスに移動します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [Single Sign-On] で、[構成] をクリックします。
  3. [構成] 画面の [ユーザー プロビジョニング]/[シークレット トークン] で、[再生成] をクリックしてシークレット トークンを再生成し、ドロップダウンからトークンの有効期間を選択して、[クリップボードにコピー] をクリックします。トークンを安全な場所に保存します。
  4. コピーされたトークンは、外部 ID プロバイダの構成を更新する際に使用できます。

削除された SCIM ユーザーおよびグループのリストア

SCIM によって vCenter Server にプッシュされたユーザーとグループが外部 ID プロバイダと同期しなくなった場合は、問題を修正する手順を実行できます。

SCIM によってプッシュされたユーザーまたはグループを vCenter Server から削除した後にリストアする場合、ID プロバイダからユーザーまたはグループを単にプッシュすることはできません。vCenter Server ではユーザーおよびグループの管理にクロスドメイン ID 管理 (SCIM) のシステムが使用されるため、見つからないユーザーまたはグループを使用して SCIM 2.0 アプリケーション自体を更新する必要があります。

手順

  1. 外部 IDP 管理コンソールにログインします。
  2. SCIM 2.0 アプリケーションに移動します。
  3. 削除した、あるいは見つからないユーザーまたはグループを割り当てます。
  4. プッシュされたグループまたはユーザーを削除するための適切なアクションを選択して、そのグループまたはユーザーのリンクを解除します。
  5. グループをプッシュするための適切なアクションを選択します。
  6. 外部 IDP がグループまたはユーザーを同期したことを vCenter Server で確認します。