Okta、Microsoft Entra ID、または PingFederate を使用した拡張リンク モード構成の可用性に関する考慮事項の詳細を確認します。

前提条件

  • 2 つ以上の vCenter Server システムが拡張リンク モード構成に含まれていること。たとえば、システムには、VC_1、VC_2、VC_3 と VC_N までラベルが付けられます。ここで、N は拡張リンク モード構成の vCenter Server システムの数です。
  • Okta および Microsoft Entra ID の場合、すべての vCenter Server システムで vSphere 8.0 Update 2 以降が実行されている必要があります。PingFederate の場合、すべての vCenter Server システムで vSphere 8.0 Update 3 以降が実行されている必要があります。
  • Okta、Microsoft Entra ID、または PingFederate が vCenter Server システムのいずれかで外部 ID プロバイダとして構成されていること。たとえば、システムに VC_1 というラベルが付けられます。
  • 外部 ID プロバイダが、必要なすべての OAuth2 および SCIM アプリケーションで構成されていること。

手順

  1. 特定の vCenter Server VC_i(i は 2 ~ N)を有効にするには、次の手順を実行します。
    1. VC_i へのローカル シェル アクセスを取得して、アクティベーション スクリプトを実行します。
      注: 以下の手順を実行するために、管理者権限がある vCenter Server ユーザー アカウントをコマンド ラインまたはコンソール プロンプトで指定してください。
    2. アクティベーション スクリプトから 'status' を実行して、vCenter Server の現在のアクティベーション状態を取得します。 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py status
    3. 'status' コマンドで vCenter Server が有効になっていないことがわかった場合は、アクティベーション スクリプトから 'activate' を実行します。 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py activate
    4. 'status' コマンドで vCenter Server がすでに有効になっていることがわかった場合は、'deactivate' オプションを実行してから、'activate' オプションを実行します。 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py deactivate
      • たとえば、'activate' オプションを実行します。
      • または、'activate' コマンドで '--force-replace' オプションを指定することもできます。
  2. ブラウザを開いて vCenter Server VC_i にアクセスし、vCenter Server に管理者としてログインします。
    1. [ホーム > 管理 > Single Sign-On > 構成] の順に移動します。
    2. [ユーザー プロビジョニング][テナント URL] に VC_i の FQDN が含まれていることを確認します。
    3. [テナント URL] 文字列をコピーして保存します。この情報は、外部 ID プロバイダで使用します。
    4. [シークレット トークン][生成] をクリックし、生成されたトークン文字列をコピーして保存します。この情報は、外部 ID プロバイダで使用します。
    5. [OpenID Connect][リダイレクト URI] に VC_i の FQDN が含まれていることを確認します。
    6. [リダイレクト URI] 文字列をコピーして保存します。この情報は、外部 ID プロバイダで使用します。
  3. ブラウザを開いて、外部 ID プロバイダの管理ページに移動します。
    注: 以下の手順は、外部 ID プロバイダ固有の情報を参照して実行してください。
    1. 外部 ID プロバイダが最初に VC_1 で構成されたときに設定された OAuth2 登録情報を見つけます。
    2. OAuth2 登録情報を編集します。先ほど VC_i 用に取得したリダイレクト URI を追加してください。
    3. 宛先が複数ある SCIM プッシュ構成を外部 ID プロバイダがサポートしている場合は、次の手順を実行します。
      • 外部 ID プロバイダが最初に VC_1 で構成されたときに設定された SCIM プッシュ構成を見つけます。
      • SCIM プッシュ構成を編集します。先ほど VC_i 用に取得した [テナント URL][シークレット トークン] を追加してください。
    4. 宛先が 1 つのみの SCIM プッシュ構成を外部 ID プロバイダがサポートしている場合は、次のことを行います。
      • 先ほど VC_i 用に取得した [テナント URL][シークレット トークン] を使用して、新しい SCIM プッシュ構成を作成します。
      • 外部 ID プロバイダが最初に VC_1 で構成されたときに設定された SCIM プッシュ構成と同じユーザー/グループ データが、確実に SCIM プッシュ構成によってプッシュされるようにします。
    5. SCIM プッシュ処理を開始して、VC_i に確実に最新のユーザー データまたはグループ データがポピュレートされるようにします。