ユーザーが vSphere コンポーネントにログインするとき、または、vCenter Server のソリューション ユーザーが別の vCenter Server サービスにアクセスするときに、vCenter Single Sign-On は認証を実施します。ユーザーは、vCenter Single Sign-On によって認証され、vSphere オブジェクトを操作するために必要な権限を持っている必要があります。
vCenter Single Sign-On では、ソリューション ユーザーとその他のユーザーの両方が認証されます。
- ソリューション ユーザーは、vSphere 環境内の一連のサービスを表します。インストールの際、VMCA はデフォルトで、各ソリューション ユーザーに証明書を割り当てます。ソリューション ユーザーは、vCenter Single Sign-On への認証にこの証明書を使用します。vCenter Single Sign-On からソリューション ユーザーに SAML トークンが提供されるため、ソリューション ユーザーは環境内の他のサービスと対話できるようになります。
- 他のユーザーが、たとえば、vSphere Client から環境内にログインしてきた場合、vCenter Single Sign-On によって、ユーザー名とパスワードが求められます。その認証情報を持つユーザーが対応する ID ソース内に見つかった場合、vCenter Single Sign-On はそのユーザーに SAML トークンを割り当てます。これで、このユーザーは、再び認証を求められることなく、環境内の他のサービスにアクセスできます。
ユーザーが表示できるオブジェクトと実行できる内容は、通常、vCenter Server の権限設定で決まります。vCenter Server 管理者は、vCenter Single Sign-On からではなく vSphere Client の [権限] インターフェイスから権限を割り当てます。『vSphere のセキュリティ』ドキュメントを参照してください。
vCenter Single Sign-On ユーザーと vCenter Server ユーザー
ユーザーはログイン ページで認証情報を入力して、vCenter Single Sign-On に対して認証を行います。vCenter Server への接続後、認証済みユーザーは、ロールによって権限が与えられているすべての vCenter Server インスタンスまたは他の vSphere オブジェクトを表示することができます。それ以上の認証は不要です。
インストール後に、vCenter Single Sign-On ドメインの管理者(デフォルトは [email protected])は、vCenter Single Sign-On と vCenter Server の両方の管理者権限を持ちます。そのユーザーは次に、vCenter Single Sign-On ドメインで ID ソースを追加してデフォルトの ID ソースを設定し、ユーザーとグループを管理できます。
vCenter Single Sign-On への認証を行うことができるすべてのユーザーは、パスワードをリセットできます。vCenter Single Sign-On パスワードの変更を参照してください。パスワードを忘れたユーザーのパスワードは、vCenter Single Sign-On の管理者のみがリセットできます。
vCenter Single Sign-On 管理者ユーザー
vCenter Single Sign-On 管理インターフェイスには、vSphere Client からアクセスできます。
vCenter Server のその他のユーザー アカウント
次のユーザー アカウントは、vsphere.local ドメイン(またはインストール時に作成したデフォルト ドメイン)にある vCenter Server 内に自動的に作成されます。これらのユーザー アカウントはシェル アカウントです。これらのアカウントには、vCenter Single Sign-On パスワード ポリシーは適用されません。
アカウント | 説明 |
---|---|
K/M | Kerberos キーの管理用。 |
krbtgt/VSPHERE.LOCAL | 統合 Windows 認証との互換性用。 |
waiter-random_string | Auto Deploy 用。 |
ESXi ユーザー
スタンドアローンの ESXi ホストは vCenter Single Sign-On と統合されていません。ESXi ホストの Active Directory への追加については、vSphere のセキュリティ を参照してください。
vCenter Server コンポーネントへのログイン方法
vSphere Client に接続してログインできます。
ユーザーが vSphere Client から vCenter Server システムにログインする場合、ログイン動作はユーザーがデフォルトの ID ソースとして設定されているドメインに所属しているかどうかによって異なります。
- デフォルト ドメインに所属しているユーザーはユーザー名とパスワードでログインできます。
- vCenter Single Sign-On に ID ソースとして追加されているがデフォルト ドメイン以外のドメインに所属しているユーザーは、vCenter Server にログインできますが、次のいずれかの方法でドメインを指定する必要があります。
- ドメイン名を前に含める。例) MYDOMAIN\user1
- ドメインを含める。例) [email protected]
- vCenter Single Sign-On ID ソースでないドメインに所属しているユーザーは vCenter Server にはログインできません。vCenter Single Sign-On に追加したドメインがドメイン階層の一部である場合、Active Directory は階層内の他のドメインのユーザーが認証されているかどうかを判断します。
環境に Active Directory 階層が含まれる場合に、サポートされる設定とサポートされない設定を確認するには、VMware ナレッジベースの記事 (https://kb.vmware.com/s/article/2064250) を参照してください。