テナント管理者として、LDAP ディレクトリ接続による Active Directory を構成して、高可用性 vRealize Automation の導入環境に対するユーザー認証をサポートしようと思います。

始める前に

  • 適切なロード バランサを使用して分散 vRealize Automation 導入環境をインストールします。『vRealize Automation 7.2 のインストール』を参照してください。

  • テナント管理者として vRealize Automation コンソールにログインします。

このタスクについて

vRealize Automation アプライアンスにはユーザー認証をサポートするコネクタが含まれていますが、通常、ディレクトリの同期用にコネクタを 1 つ構成します。同期用に、どのコネクタを選択してもかまいません。ディレクトリ管理の高可用性をサポートするには、セカンダリ vRealize Automation アプライアンスに対応するセカンド コネクタを構成する必要があります。このコネクタは、ID プロバイダに接続して同一の Active Directory を指定します。このように構成すると、1 台目の vRealize Automation Appliance が故障しても、もう一方がユーザー認証の管理を引き継ぎます。

高可用性環境では、すべてのノードで、同一の Active Directory、ユーザー、認証方法などの設定を使用する必要があります。最も直接的な実現方法は、ID プロバイダ ホストとしてロード バランサ ホストを設定し、ID プロバイダをクラスタに昇格させることです。このように構成すると、すべての認証要求はロード バランサに送られ、必要に応じていずれかのコネクタにこの要求が転送されます。

手順

  1. 管理 > ディレクトリ管理 > ディレクトリ を選択します。
  2. ディレクトリの追加 をクリックします。
  3. Active Directory アカウントの詳細な設定を入力し、デフォルトのオプションを受け入れます。

    オプション

    入力例

    ディレクトリ名

    Active Directory ドメイン名の IP アドレスを追加します。

    同期コネクタ

    すべての vRealize Automation アプライアンスにはコネクタが含まれています。利用可能なコネクタのいずれかを使用します。

    ベース DN

    ディレクトリ サーバ 検索の先頭に識別名(DN)を入力します。たとえば、cn=users,dc=corp,dc=local と入力します。

    バインド DN

    共通名 (CN) など、ユーザーを検索する権限がある Active Directory ユーザー アカウントの完全識別名 (DN) を入力します。たとえば、cn=config_admin infra,cn=users,dc=corp,dc=local と入力します。

    バインド DN パスワード

    ユーザーを検索できるアカウントの Active Directory パスワードを入力します。

  4. 接続をテスト をクリックし、構成したディレクトリへの接続をテストします。

    接続が失敗した場合は、すべてのフィールドのエントリを確認し、必要に応じてシステム管理者に問い合わせてください。

  5. 保存して次へ をクリックします。

    [ドメインの選択] ページにドメインのリストが表示されます。

  6. デフォルトのドメインが選択された状態のままで 次へ をクリックします。
  7. 属性名が適切な Active Directory 属性にマップされていることを確認します。適切にマッピングされていない場合は、ドロップダウン メニューから正しい Active Directory 属性を選択します。次へ をクリックします。
  8. 同期させたいグループやユーザーを選択します。
    1. 追加 アイコン(追加)をクリックします。
    2. ユーザー ドメインを入力し、グループの検索 をクリックします。

      たとえば、cn=users,dc=corp,dc=local と入力します。

    3. すべて選択 チェック ボックスをオンにします。
    4. 選択 をクリックします。
    5. 次へ をクリックします。
    6. 追加 をクリックしてさらにユーザーを追加します。たとえば、CN-username,CN=Users,OU-myUnit,DC=myCorp,DC=com のように入力します。

      ユーザーを除外するには、[+] をクリックしていくつかのタイプのユーザーを除外するフィルタを作成します。フィルタリングの基準となるユーザー属性、クエリ ルールおよび値を選択します。

    7. 次へ をクリックします。
  9. このページで、ディレクトリと同期しているユーザーやグループの数を確認し、ディレクトリの同期 をクリックします。

    ディレクトリの同期処理は少し時間がかかりますが、バックグラウンドで実行されるので、作業を続けることができます。

  10. 高可用性をサポートする 2 番目のコネクタを構成します。
    1. テナント管理者として、vRealize Automation の展開のロード バランサにログインします。

      ロード バランサの URL は load balancer address/vcac/org/tenant_name です。

    2. 管理 > ディレクトリ管理 > ID プロバイダ の順に選択します。
    3. システムで現在使用している ID プロバイダをクリックします。

      システムに基本的な ID 管理を提供する既存のディレクトリとコネクタが表示されます。

    4. コネクタの追加 ドロップダウン リストをクリックし、2 番目の vRealize Automation アプライアンス に対応するコネクタを選択します。
    5. コネクタを選択すると表示される バインド DN パスワード テキスト ボックスに適切なパスワードを入力します。
    6. コネクタの追加 をクリックします。
    7. ロード バランサをポイントするようにホスト名を編集します。

タスクの結果

コーポレート Active Directory が vRealize Automation に接続され、ディレクトリ管理が高可用性に対応するように設定されました。

次のタスク

セキュリティを強化するために、ID プロバイダと Active Directory の双方向の信頼を構成することができます。vRealize Automation と Active Directory 間で双方向の信頼関係を構築を参照してください。