vSphere 7.0 以降をインストールするか、vSphere 7.0 以降にアップグレードした後、AD FS に対して vCenter Server ID プロバイダ フェデレーションを外部 ID プロバイダとして構成できます。

注: これらの手順は、vSphere 8.0 Update 1 以降を対象にしています。vSphere 8.0 の場合は、『 vSphere の認証』ドキュメント ( https://docs.vmware.com/jp/VMware-vSphere/8.0/vsphere-documentation-80.zip) の AD FS に対する vCenter Server ID プロバイダ フェデレーションの構成に関するトピックを参照してください。

vCenter Server は、1 つの構成されている外部 ID プロバイダ(1 つのソース)と、vsphere.local ID ソースのみをサポートします。複数の外部 ID プロバイダを使用することはできません。vCenter Server ID プロバイダ フェデレーションは、vCenter Server へのユーザー ログインに OpenID Connect (OIDC) を使用します。

このタスクでは、権限を制御する手段として AD FS グループを vSphere 管理者グループに追加する方法について説明します。また、vCenter Server のグローバル権限またはオブジェクト権限による AD FS 認可を使用して権限を構成することもできます。権限の追加の詳細については、ドキュメント『vSphere のセキュリティ』を参照してください。

注意:

AD FS ID ソースの vCenter Server に以前に追加した Active Directory ID ソースを使用する場合は、その既存の ID ソースを vCenter Server から削除しないでください。これを行うと、以前に割り当てられたロールとグループ メンバーシップでリグレッションが発生します。グローバル権限を持つ AD FS ユーザーと管理者グループに追加されたユーザーの両方がログインできなくなります。

回避策:以前に割り当てられたロールとグループ メンバーシップが不要で、以前の Active Directory ID ソースを削除する場合は、AD FS プロバイダを作成して vCenter Server でグループ メンバーシップを構成する前に、ID ソースを削除します。

前提条件

注: AD FS ID プロバイダを構成するこのプロセスでは、 vCenter Server と AD FS サーバの両方への管理アクセス権が必要です。構成プロセスでは、 vCenter Server、次に AD FS サーバ、その次に vCenter Server の順で情報を入力します。

Active Directory フェデレーション サービスの要件:

  • Windows Server 2016 以降の AD FS がすでにデプロイされている必要があります。
  • Active Directory に AD FS が接続されている必要があります。
  • 設定プロセスの一部として、vCenter Server のアプリケーショングループを AD FS で作成する必要があります。VMware のナレッジベースの記事 (https://kb.vmware.com/s/article/78029) を参照してください。
  • 信頼済みルート証明書ストアに追加した AD FS サーバ証明書(または AD FS サーバ証明書に署名した CA/中間証明書)。
  • vCenter Server 管理者権限の付与対象となるユーザーを含む vCenter Server 管理者グループを AD FS 内に作成しました。

AD FS の設定の詳細については、Microsoft 社のドキュメントを参照してください。

vCenter Server とその他の要件:

  • vSphere 7.0 以降
  • vCenter Server は、AD FS 検出エンドポイントに接続可能で、さらに認可、トークン、ログアウト、JWKS および検出エンドポイント メタデータにアドバタイズされているその他のエンドポイントに接続可能である必要があります。
  • フェデレーションされた認証に必要な vCenter Server ID プロバイダを作成、更新、作成するには、VcIdentityProviders.Manage 権限が必要です。ユーザーが ID プロバイダの設定情報のみを表示するように制限するには、VcIdentityProviders.Read 権限を割り当てます。

手順

  1. vSphere Client を使用して vCenter Server にログインします。
  2. 信頼済みルート証明書ストアに AD FS サーバ証明書(または AD FS サーバ証明書に署名した CA/中間証明書)を追加します。
    注: 詳細については、 vSphere Client を使用した証明書ストアへの信頼できるルート証明書の追加を参照してください。
    1. [管理] > [証明書] > [証明書の管理] の順に移動します。
    2. [信頼されたルート ストア] の横にある [追加] をクリックします。
    3. AD FS 証明書を参照し、[追加] をクリックします。
      証明書が [信頼できるルート証明書] の下のパネルに追加されます。
  3. vCenter Server で ID プロバイダの作成を開始します。
    1. vSphere Client を使用して、vCenter Server に管理者としてログインします。
    2. [ホーム] > [管理] > [Single Sign-On] > [構成] の順に移動します。
    3. [プロバイダの変更] をクリックし、[ADFS] を選択します。
      [メイン ID プロバイダの構成] ウィザードが開きます。
    4. [前提条件] パネルで、AD FS と vCenter Server の要件を確認します。
    5. [事前チェックを実行] をクリックします。
      事前チェックでエラーが検出された場合は、 [詳細表示] をクリックしてエラーを解決する手順を実行します。
    6. 事前チェックが終了したら、確認のチェック ボックスをオンにして、[次へ] をクリックします。
    7. [ユーザーおよびグループ] パネルで、LDAP 経由の Active Directory 接続のユーザーおよびグループ情報を入力して、ユーザーとグループを検索します。
      vCenter Server は、認可と権限付与に使用する Active Directory ドメインをユーザーのベース識別名から導出します。vSphere オブジェクトに対する権限は、この Active Directory ドメインのユーザーおよびグループに対してのみ追加できます。Active Directory の子ドメインまたは Active Directory フォレスト内の他のドメインのユーザーまたはグループは、 vCenter Server ID プロバイダ フェデレーションではサポートされません。
      オプション 説明
      ユーザーのベース識別名 ユーザーのベース識別名。
      グループのベース識別名 グループのベース識別名。
      ユーザー名 ユーザーおよびグループの BaseDN に対して、最低限の読み取り専用アクセス権を持つドメイン内のユーザーの ID。
      パスワード ユーザーおよびグループの BaseDN に対して、最低限の読み取り専用アクセス権を持つドメイン内のユーザーの ID。
      プライマリ サーバ URL ドメインのプライマリ ドメイン コントローラ LDAP サーバ。

      ldap://hostname:port の形式または ldaps://hostname:port の形式を使用します。通常のポートは、LDAP 接続では 389、LDAPS 接続では 636 です。Active Directory のマルチドメイン コントローラ デプロイの場合、通常のポートは LDAP 接続では 3268、LDAPS 接続では 3269 です。

      プライマリまたはセカンダリ LDAP の URL に ldaps:// を使用する場合は、Active Directory サーバの LDAPS エンドポイントに対する信頼を確立する証明書が必要です。

      セカンダリ サーバの URL フェイルオーバーに使用されるセカンダリ ドメイン コントローラ LDAP サーバのアドレス。
      SSL 証明書 Active Directory LDAP Server または OpenLDAP Server の ID ソースで LDAPS を使用する場合、参照 をクリックして証明書を選択します。
    8. [次へ] をクリックします。
    9. [OpenID Connect] パネルで、リダイレクト URI と ログアウト リダイレクト URI をコピーします。
      現時点では、他のフィールドは空白のままにします。次の手順で OpenID Connect 構成を作成すると、 [OpenID Connect] パネルに戻ります。
  4. AD FS で OpenID Connect 構成を作成し、vCenter Server 用に設定します。
    vCenter Server と ID プロバイダの間で証明書利用者の信頼を確立するには、識別情報と両者の間の共有シークレット キーを確立する必要があります。AD FS でこれを実行するには、サーバ アプリケーションと Web API で構成される、アプリケーション グループと呼ばれる OpenID Connect 構成を作成します。この 2 つのコンポーネントは、 vCenter Server が AD FS サーバを信頼し、これと通信するために使用する情報を指定します。AD FS で OpenID Connect を有効にするには、 https://kb.vmware.com/s/article/78029にある Vmware のナレッジベースの記事を参照してください。

    AD FS アプリケーション グループを作成するときは、次の点に注意してください。

    • 前の手順で取得した 2 つの vCenter Server リダイレクト URI が必要です。
    • 次の手順で vCenter Server ID プロバイダの作成を完了するときに使用するために、AD FS アプリケーション グループから次の情報をファイルにコピーするかメモします。
      • クライアント識別子
      • 共有シークレット
      • AD FS サーバの OpenID アドレス
    注: 必要に応じて、次の PowerShell コマンドを AD FS 管理者として実行して、AD FS サーバの OpenID アドレスを取得します。 
    Get-AdfsEndpoint | Select FullUrl | Select-String openid-configuration

    返された URL をコピーします(囲んでいるブラケットや最初の "@{FullUrl=" の部分は含まず、URL 自体のみを選択します)。

  5. vCenter Server[OpenID Connect] パネルで、次の手順を実行します。
    1. AD FS アプリケーション グループを作成するときに、前の手順で取得した次の情報を入力します。
      • クライアント識別子
      • 共有シークレット
      • OpenID アドレス

      [ID プロバイダ名] には「Microsoft ADFS」が自動的に入力されます。

    2. [次へ] をクリックします。
  6. 情報を確認し、[終了] をクリックします。
    vCenter Server で AD FS ID プロバイダが作成されて、構成情報が表示されます。
  7. AD FS を認可するためのグループ メンバーシップを vCenter Server で構成します。
    1. [ホーム] メニューから [管理] を選択します。
    2. [Single Sign-On] で、[ユーザーおよびグループ] をクリックします。
    3. [グループ] タブをクリックします。
    4. [管理者] グループをクリックして、[メンバーの追加] をクリックします。
    5. ドロップダウン メニューからドメインを選択します。
    6. ドロップダウン メニューの下のテキスト ボックスに、追加する AD FS グループの最初の数文字を入力し、ドロップダウンの選択肢が表示されるまで待ちます。
      vCenter Server が Active Directory への接続を確立して検索するため、選択肢が表示されるまで数秒かかる場合があります。
    7. AD FS グループを選択し、管理者グループに追加します。
    8. [保存] をクリックします。
  8. Active Directory ユーザーで vCenter Server にログインしていることを確認します。