vSphere 8.0 Update 1 以降をインストールするか、vSphere 8.0 Update 1 以降にアップグレードした後、Okta に対して vCenter Server ID プロバイダ フェデレーションを外部 ID プロバイダとして構成できます。

vCenter Server は、1 つの構成されている外部 ID プロバイダ(1 つのソース)と、vsphere.local ID ソース(ローカル ソース)のみをサポートします。複数の外部 ID プロバイダを使用することはできません。vCenter Server ID プロバイダ フェデレーションは、vCenter Server へのユーザー ログインに OpenID Connect (OIDC) を使用します。

vCenter Server のグローバル権限またはオブジェクト権限による Okta グループとユーザーを使用して権限を構成できます。権限の追加の詳細については、ドキュメント『vSphere のセキュリティ』を参照してください。

前提条件

Okta の要件は次のとおりです。

  • Okta を使用していて、専用のドメイン領域(例:https://your-company.okta.com)を持っている必要があります。
  • OIDC ログインを実行し、ユーザーとグループの権限を管理するには、次の Okta アプリケーションを作成する必要があります。
    • サインオン方法として OpenID Connect を使用する Okta ネイティブ アプリケーション。このネイティブ アプリケーションには、認可コード、リフレッシュ トークン、リソース所有者パスワードの付与タイプが含まれている必要があります。
    • OAuth 2.0 ベアラー トークンを使用して Okta サーバと vCenter Server 間のユーザーおよびグループの同期を実行する System for Cross-domain Identity Management (SCIM) 2.0 アプリケーション。

    VMware のナレッジベースの記事 (https://kb.vmware.com/s/article/90835) を参照してください。

  • vCenter Server と共有する Okta ユーザーおよびグループを特定しておく必要があります。この共有は SCIM の処理です(OIDC の処理ではありません)。

Okta の接続要件:

  • vCenter Server は、Okta 検出エンドポイントに接続可能で、さらに認可、トークン、JWKS、および検出エンドポイント メタデータにアドバタイズされているその他のエンドポイントに接続可能である必要があります。
  • Okta も、SCIM プロビジョニング用のユーザーとグループのデータを送信するために vCenter Server に接続できる必要があります。

vCenter Server の要件:

  • vSphere 8.0 Update 1 以降
  • Okta ID ソースを作成する vCenter Server で、VMware Identity Services が有効になっていることを確認します。
    注: vSphere 8.0 Update 1 以降をインストールするか、vSphere 8.0 Update 1 以降にアップグレードすると、VMware Identity Services がデフォルトで有効になります。 vCenter Server 管理インターフェイスを使用して、VMware Identity Services のステータスを確認できます。 VMware Identity Services の停止と起動を参照してください。

vSphere の権限の要件:

  • フェデレーションされた認証に必要な vCenter Server ID プロバイダを作成、更新、削除するには、VcIdentityProviders.Manage 権限が必要です。ユーザーが ID プロバイダの設定情報のみを表示するように制限するには、VcIdentityProviders.Read 権限を割り当てます。

拡張リンク モードの要件:

  • 拡張リンク モード構成では、Okta に対する vCenter Server ID プロバイダ フェデレーションを構成できます。拡張リンク モード構成で Okta を構成する場合は、単一の vCenter Server システムで VMware Identity Services を使用するように Okta ID プロバイダを構成します。たとえば、拡張リンク モード構成が 2 つの vCenter Server システムで構成されている場合、Okta サーバとの通信には 1 台の vCenter Server とその VMware Identity Services のインスタンスが使用されます。この vCenter Server システムが使用できなくなった場合、ELM 構成内の他の vCenter Server 上の VMware Identity Services を Okta サーバと連携させるように構成できます。詳細については、拡張リンク モード構成での外部 ID プロバイダのアクティベーション プロセスを参照してください。
  • Okta を外部 ID プロバイダとして構成する場合、拡張リンク モード構成のすべての vCenter Server システムでは vSphere 8.0 Update 1 以降を実行する必要があります。

ネットワークの要件:

  • ネットワークが公開されていない場合は、vCenter Server システムと Okta サーバ間にネットワーク トンネルを作成し、パブリックにアクセス可能な適切な URL をベース URI として使用します。

手順

  1. Okta で OpenID Connect アプリケーションを作成し、グループとユーザーを OpenID Connect アプリケーションに割り当てます。
    OpenID Connect アプリケーションを作成してグループとユーザーを割り当てるには、VMware ナレッジベースの記事 ( https://kb.vmware.com/s/article/90835) を参照してください。「Create the OpenID Connect Application」セクションの手順に従います。Okta OpenID Connect アプリケーションを作成したら、Okta OpenID Connect アプリケーションから以下の情報をファイルにコピーして、次の手順で vCenter Server ID プロバイダを構成するときに使用します。
    • クライアント識別子
    • クライアント シークレット(vSphere Client では共有シークレットとして表示)
    • Active Directory ドメイン情報または Okta ドメイン情報(Active Directory を実行していない場合)
  2. vCenter Server で ID プロバイダを作成するには、次の手順を実行します。
    1. vSphere Client を使用して、vCenter Server に管理者としてログインします。
    2. [ホーム] > [管理] > [Single Sign-On] > [構成] の順に移動します。
    3. [プロバイダの変更] をクリックし、[Okta] を選択します。
      [メイン ID プロバイダの構成] ウィザードが開きます。
    4. [前提条件] パネルで、Okta と vCenter Server の要件を確認します。
    5. [事前チェックを実行] をクリックします。
      事前チェックでエラーが検出された場合は、 [詳細表示] をクリックしてエラーを解決する手順を実行します。
    6. 事前チェックが終了したら、確認のチェックボックスをオンにして、[次へ] をクリックします。
    7. [ディレクトリ情報] パネルで、次の情報を入力します。
      • ディレクトリ名:Okta からプッシュされたユーザーとグループを格納する vCenter Server に作成するローカル ディレクトリの名前。vcenter-okta-directory のように入力します。
      • ドメイン名:vCenter Server と同期する Okta ユーザーおよびグループを含む Okta ドメイン名を入力します。

        Okta ドメイン名を入力したら、プラス記号アイコン (+) をクリックして追加します。複数のドメイン名を入力する場合は、デフォルトのドメインを指定します。

    8. [次へ] をクリックします。
    9. [OpenID Connect] パネルで、次の情報を入力します。
      • リダイレクト URI:自動的に入力されます。OpenID Connect アプリケーションの作成に使用するリダイレクト URI を Okta 管理者に提供します。
      • ID プロバイダ名:「Okta」が自動的に入力されます。
      • クライアント識別子:手順 1 で Okta に OpenID Connect アプリケーションを作成したときに取得されます(Okta では、クライアント識別子がクライアント ID と呼ばれます)。
      • 共有シークレット:手順 1 で Okta に OpenID Connect アプリケーションを作成したときに取得されます(Okta では、共有シークレットがクライアント シークレットと呼ばれます)。
      • OpenID アドレス:https://Okta ドメイン領域/oauth2/default/.well-known/openid-configuration という形式になります。

        たとえば、Okta ドメイン領域が example.okta.com の場合、OpenID アドレスは https://example.okta.com/oauth2/default/.well-known/openid-configuration です。

        詳細についてはhttps://developer.okta.com/docs/reference/api/oidc/#well-known-openid-configurationを参照してください。

    10. [次へ] をクリックします。
    11. 情報を確認し、[終了] をクリックします。
      vCenter Server で Okta ID プロバイダが作成されて、構成情報が表示されます。
    12. 必要に応じて、下にスクロールして [リダイレクト URI] の [コピー] アイコンをクリックし、ファイルに保存します。
      Okta OpenID Connect アプリケーションでは、このリダイレクト URI を使用します。
    13. [テナント URL] の [コピー] アイコンをクリックして、ファイルに保存します。
      注: ネットワークが公開されていない場合は、 vCenter Server システムと Okta サーバ間にネットワーク トンネルを作成する必要があります。ネットワーク トンネルを作成したら、パブリックにアクセス可能な適切な URL をベース URI として使用します。
    14. [ユーザー プロビジョニング][生成] をクリックしてシークレット トークンを作成し、ドロップダウンからトークンの有効期間を選択してから、[クリップボードにコピー] をクリックします。トークンを安全な場所に保存します。
      Okta SCIM 2.0 アプリケーションでは、このテナント URL とトークンを使用します。Okta SCIM 2.0 アプリケーションではトークンを使用して、Okta ユーザーとグループを VMware Identity Services に同期します。この情報は、Okta ユーザーとグループを Okta から vCenter Server にプッシュするために必要です。
  3. VMware ナレッジベースの記事 (https://kb.vmware.com/s/article/90835) に戻って Okta のリダイレクト URI を更新します。
    「Update the Okta Redirect URI」セクションの手順に従います。
  4. SCIM 2.0 アプリケーションを作成するには、VMware ナレッジベースの記事 (https://kb.vmware.com/s/article/90835) を引き続き参照します。
    「Create the SCIM 2.0 Application and Push Users and Groups to vCenter Server」セクションの手順に従います。
    ナレッジベースの記事の説明に従って SCIM 2.0 アプリケーションの作成が完了したら、次の手順に進みます。
  5. vCenter Server を Okta 認証用に構成します。
    Okta ユーザーを vCenter Server グループに割り当てるか、インベントリレベルおよびグローバル権限を Okta ユーザーに割り当てることができます。ログインするために必要な最小権限は、読み取り専用権限です。
    Okta ユーザーをグループに割り当てるには、「 vCenter Single Sign-On グループへのメンバーの追加」を参照してください。インベントリレベルおよびグローバル権限を Okta ユーザーに割り当てるには、『 vSphere のセキュリティ』ドキュメントで vCenter Server コンポーネントの権限の管理に関するトピックを参照してください。
  6. Okta ユーザーで vCenter Server にログインしていることを確認します。