vSphere は、vCenter Server と ESXi の両方のコンポーネントに関する証明書の管理と、vCenter Single Sign-On による認証の管理のための共通インフラストラクチャ サービスを提供します。
vSphere 証明書の管理方法
デフォルトでは、vSphere によって VMware Certificate Authority (VMCA) 証明書を使用して vCenter Server コンポーネントおよび ESXi ホストをプロビジョニングできます。VMware Endpoint Certificate Store (VECS) に格納されているカスタム証明書を使用することもできます。詳細については、『vSphere 証明書の管理に必要なオプション』を参照してください。
vCenter Single Sign-On について
vCenter Single Sign-On を使用すると、vSphere コンポーネントの安全なトークン メカニズムを介した相互通信が可能になります。vCenter Single Sign-On では独自の用語と定義が使用されており、これらを理解することが重要です。
| 用語 | 定義 |
|---|---|
| プリンシパル | ユーザーなどの認証可能なエンティティ。 |
| ID プロバイダ | ID ソースを管理し、プリンシパルを認証するサービス。例:Microsoft Active Directory フェデレーション サービス (AD FS) および vCenter Single Sign-On。 |
| ID ソース(ディレクトリ サービス) | プリンシパルを格納および管理します。プリンシパルは、ユーザーまたはサービス アカウントに関する属性(名前、アドレス、E メール、グループ メンバーシップなど)のコレクションで構成されます。例:Microsoft Active Directory および VMware Directory Service (vmdir)。 |
| 認証 | 誰かまたは何かが、実際に自身で宣言しているとおりの人または物であるかどうかを判断するための手段。たとえば、ユーザーは、スマート カード、ユーザー名、正しいパスワードなどの認証情報を入力すると認証されます。 |
| 認可 | プリンシパルがアクセスできるオブジェクトを確認するプロセス。 |
| トークン | 特定のプリンシパルの ID 情報を構成するデータの署名付きコレクション。トークンには、そのタイプによってはメール アドレスやフル ネームなどのプリンシパルに関する基本的な情報だけでなく、プリンシパルのグループとロールも含まれることがあります。 |
| vmdir | VMware Directory Service。ユーザー ID、グループ、および設定データを格納する vCenter Server 内の内部(ローカル)LDAP リポジトリ。 |
| OAuth 2.0 | プリンシパルの認証情報を公開することなく、プリンシパルと Web サービス間で情報を交換できるようにする認可のオープン スタンダード。 |
| OpenID Connect (OIDC) | OAuth をユーザー識別情報で強化する、OAuth 2.0 に基づく認証プロトコル。これは、OAuth 認証中に認証サーバからアクセス トークンと一緒に返される ID トークンで表されます。vCenter Server では、Active Directory フェデレーション サービス (AD FS)、Okta、Microsoft Entra ID、PingFederate とのやり取りに OIDC 機能が使用されます。 |
| クロスドメイン ID 管理 (SCIM) のシステム | ID ドメイン間または IT システム間でユーザー ID 情報の交換を自動化するための標準。 |
| VMware Identity Services | バージョン 8.0 Update 1 以降では、VMware Identity Services は、外部 ID プロバイダへの ID フェデレーションに使用できる vCenter Server 内の組み込みコンテナです。vCenter Server 内の独立した ID ブローカとして機能し、独自の API セットが付属しています。現在、VMware Identity Services では Okta、Microsoft Entra ID、PingFederate が外部 ID プロバイダとしてサポートされています。 |
| テナント | VMware Identity Services の概念。テナントにより、同一の仮想環境内で、データは他のテナントのデータから論理的に分離されます。 |
| JSON Web トークン (JWT) | OAuth 2.0 仕様によって定義されたトークン形式。JWT トークンは、プリンシパルに関する認証および認可情報を伝送します。 |
| 証明書利用者 | 証明書利用者は、ID 管理に認可サーバ(VMware Identity Services または AD FS)を「利用」します。たとえば、vCenter Server はフェデレーションを介して、VMware Identity Services または AD FS に対する証明書利用者の信頼を確立します。 |
| Security Assertion Markup Language (SAML) | vCenter Server で使用される、関係者間で認証および認可データを交換するための XML ベースのオープン標準。プリンシパルが vCenter Single Sign-On から SAML トークンを取得し、セッション ID 用の vSphere Automation API エンドポイントに送信します。 |
vCenter Single Sign-On 認証タイプについて
vCenter Single Sign-On では、組み込みの vCenter Server ID プロバイダと外部 ID プロバイダのどちらが関係するかに応じて、異なるタイプの認証が使用されます。
| 認証タイプ | ID プロバイダとして機能するもの | vCenter Server はパスワードを処理するか | 説明 |
|---|---|---|---|
| トークンベースの認証 | 外部 ID プロバイダ。たとえば、AD FS です。 | なし | vCenter Server は、特定のプロトコルを介して外部の ID プロバイダと通信し、特定のユーザーを識別するトークンを取得します。 |
| 単純な認証 | vCenter Server | はい | ユーザー名とパスワードが vCenter Server に直接渡され、そこで ID ソースによって認証情報が検証されます。 |
