ユーザーが vSphere コンポーネントにログインするとき、または、vCenter Server のソリューション ユーザーが別の vCenter Server サービスにアクセスするときに、vCenter Single Sign-On は認証を実施します。ユーザーは、vCenter Single Sign-On によって認証され、vSphere オブジェクトを操作するために必要な権限を持っている必要があります。

vCenter Single Sign-On では、ソリューション ユーザーとその他のユーザーの両方が認証されます。

  • ソリューション ユーザーは、vSphere 環境内の一連のサービスを表します。インストールの際、VMCA はデフォルトで、各ソリューション ユーザーに証明書を割り当てます。ソリューション ユーザーは、その証明書を使用して vCenter Single Sign-On への認証を行います。vCenter Single Sign-On は、ソリューション ユーザーに SAML トークンを提供し、その後、ソリューション ユーザーは、環境内の他のサービスと連携することが可能になります。
  • 他のユーザーが、たとえば、vSphere Client から環境内にログインしてきた場合、vCenter Single Sign-On によって、ユーザー名とパスワードが求められます。その認証情報を持つユーザーが対応する ID ソース内に見つかった場合、vCenter Single Sign-On はそのユーザーに SAML トークンを割り当てます。これで、このユーザーは、再び認証を求められることなく、環境内の他のサービスにアクセスできます。

    ユーザーが表示できるオブジェクトと実行できる内容は、通常、vCenter Server の権限設定で決まります。vCenter Server 管理者は、vCenter Single Sign-On からではなく vSphere Client[権限] インターフェイスから権限を割り当てます。『vSphere のセキュリティ』ドキュメントを参照してください。

vCenter Single Sign-On ユーザーと vCenter Server ユーザー

ユーザーはログイン ページで認証情報を入力して、vCenter Single Sign-On に対して認証を行います。vCenter Server への接続後、認証済みユーザーは、ロールによって権限が与えられているすべての vCenter Server インスタンスまたは他の vSphere オブジェクトを表示することができます。それ以上の認証は不要です。

インストール後に、vCenter Single Sign-On ドメインの管理者(デフォルトは administrator@vsphere.local)は、vCenter Single Sign-OnvCenter Server の両方の管理者権限を持ちます。そのユーザーは次に、vCenter Single Sign-On ドメインで ID ソースを追加してデフォルトの ID ソースを設定し、ユーザーとグループを管理できます。

vCenter Single Sign-On への認証を行うことができるすべてのユーザーは、パスワードをリセットできます。vCenter Single Sign-On パスワードの変更を参照してください。パスワードを忘れたユーザーのパスワードは、vCenter Single Sign-On の管理者のみがリセットできます。

vCenter Single Sign-On 管理者ユーザー

vCenter Single Sign-On 管理インターフェイスには、vSphere Client からアクセスできます。

vCenter Single Sign-On を構成し、 vCenter Single Sign-On ユーザーとグループを管理するには、administrator@vsphere.local ユーザーまたは vCenter Single Sign-On 管理者グループのユーザーが vSphere Client にログインする必要があります。認証時、そのユーザーは vSphere Client から vCenter Single Sign-On 管理インターフェイスにアクセスして、ID ソースとデフォルトのドメインを管理し、パスワード ポリシーを指定し、他の管理タスクを実行することができます。
注: vCenter Single Sign-On 管理者ユーザー(デフォルトは administrator@vsphere.local。インストール中に別のドメインを指定した場合は administrator@ mydomain)の名前は変更できません。セキュリティを高めるには、 vCenter Single Sign-On ドメインに追加で名前付きユーザーを作成し、管理者権限を割り当てることを検討します。その後、管理者アカウントを使用して停止することができます。

その他のユーザー アカウント

次のユーザー アカウントは、vsphere.local ドメイン(またはインストール時に作成したデフォルト ドメイン)にある vCenter Server 内に自動的に作成されます。これらのユーザー アカウントはシェル アカウントです。これらのアカウントには、vCenter Single Sign-On パスワード ポリシーは適用されません。

表 1. その他の vSphere ユーザー アカウント
アカウント 説明
K/M Kerberos キーの管理用。
krbtgt/VSPHERE.LOCAL 統合 Windows 認証との互換性用。
waiter-random_string Auto Deploy 用。

ESXi ユーザー

スタンドアローンの ESXi ホストは vCenter Single Sign-On と統合されていません。ESXi ホストの Active Directory への追加については、vSphere のセキュリティ を参照してください。

VMware Host Client、ESXCLI、PowerCLI を使用して管理対象の ESXi ホストの ローカル ESXi ユーザーを作成しても、 vCenter Server はこれらのユーザーを認識しません。そのため、ローカル ユーザーの作成は、特に同じユーザー名を使用する場合に混乱する原因となります。 vCenter Single Sign-On で認証可能なユーザーは、 ESXi ホスト オブジェクトの対応する権限がある場合、 ESXi ホストを確認および管理できます。
注: 可能な場合は、 vCenter Server を介して ESXi ホストの権限を管理します。

vCenter Server コンポーネントへのログイン方法

vSphere Client に接続してログインできます。

ユーザーが vSphere Client から vCenter Server システムにログインする場合、ログイン動作はユーザーがデフォルトの ID ソースとして設定されているドメインに所属しているかどうかによって異なります。

  • デフォルト ドメインに所属しているユーザーはユーザー名とパスワードでログインできます。
  • vCenter Single Sign-On に ID ソースとして追加されているがデフォルト ドメイン以外のドメインに所属しているユーザーは、vCenter Server にログインできますが、次のいずれかの方法でドメインを指定する必要があります。
    • ドメイン名を前に含める。例) MYDOMAIN\user1
    • ドメインを含める。例) user1@mydomain.com
  • vCenter Single Sign-On ID ソースでないドメインに所属しているユーザーは vCenter Server にはログインできません。vCenter Single Sign-On に追加したドメインがドメイン階層の一部である場合、Active Directory は階層内の他のドメインのユーザーが認証されているかどうかを判断します。

環境に Active Directory 階層が含まれる場合は、サポートされる設定とサポートされない設定の詳細を、VMware ナレッジベースの記事 KB 2064250で確認してください。