vRealize Automation Directories Management と、SSO2 を使用してシングル サインオンをサポートしているシステムとの間に SAML フェデレーションを確立できます。

始める前に

  • vRealize Automation 展開のテナントを構成します。追加テナントの作成を参照してください。

  • 適切な Active Directory リンクを設定して、基本的な Active Directory ユーザー ID とパスワードの認証をサポートします。

  • テナント管理者として vRealize Automation コンソールにログインします。

このタスクについて

ディレクトリ管理と SSO2 の間で SAML 接続を作成し、Directories Managementと SSO2 間のフェデレーションを確立します。現在、唯一サポートされている End-to-End のフローでは、SSO2 が ID プロバイダ (IdP) として機能し、Directories Managementがサービス プロバイダ (SP) として機能します。

SSO2 のユーザー認証のために、Directories Managementと SSO2 の両方に同じアカウントが存在している必要があります。少なくとも両者の間で、ユーザーのユーザー プリンシパル名 (UPN) が一致する必要があります。他の属性は、SAML 件名の識別に必要なものであるため、違っていてもかまいません。

admin@vsphere.local など、SSO2 のローカル ユーザーの場合、対応する(少なくともユーザーの UPN が一致する)アカウントがDirectories Managementに存在している必要があります。これらのアカウントは手動で作成することも、Directories Managementローカル ユーザー作成 API を使用してスクリプトで作成することもできます。

SSO2 とDirectories Management間の SAML を設定するには、ディレクトリ管理と SSO コンポーネントを構成します。

表 1. SAML フェデレーションのコンポーネントの構成

コンポーネント

構成

ディレクトリ管理

SSO2 をDirectories Managementのサード パーティ ID プロバイダとして構成し、デフォルトの認証ポリシーを更新します。自動スクリプトを作成してDirectories Managementを設定できます。

SSO2 コンポーネント

Directories Managementsp.xml ファイルをインポートして、Directories Managementをサービス プロバイダとして構成します。このファイルにより、Directories Managementをサービス プロバイダ (SP) として使用するように SSO2 を構成できます。

手順

  1. SSO2 ユーザー インターフェイスを使用して、SSO2 の ID プロバイダ メタデータをダウンロードします。
    1. https://<cloudvm-hostname>/ で、管理者として vCenter Server にログインします。
    2. vSphere Web Client へのログイン リンクをクリックします。
    3. 左側のナビゲーション ペインで、管理 > Single Sign On > 構成 の順に選択します。
    4. [SAML サービス プロバイダのメタデータ] の横にある ダウンロード をクリックします。

      vsphere.local.xml ファイルのダウンロードが開始されます。

    5. vsphere.local.xm ファイルの内容をコピーします。
  2. [vRealize Automation ディレクトリ管理 ID プロバイダ] ページで新しい ID プロバイダを作成します。
    1. テナント管理者として vRealize Automation にログインします。
    2. 管理 > ディレクトリ管理 > ID プロバイダ の順に選択します。
    3. ID プロバイダを追加 をクリックして、構成情報を入力します。

      オプション

      アクション

      ID プロバイダ名

      新しい ID プロバイダの名前を入力します。

      ID プロバイダ メタデータ(URI または XML) テキスト ボックス

      SSO2 idp.xml メタデータ ファイルの内容をテキスト ボックスに貼り付けて、IDP メタデータの処理 をクリックします。

      SAML 要求の名前 ID ポリシー(オプション)

      http://schemas.xmlsoap.org/claims/UPN.

      ユーザー

      ユーザーにアクセス権限を許可するドメインを選択します。

      ネットワーク

      ユーザーにアクセス権限を付与するネットワーク範囲を選択します。

      IP アドレスでユーザーを認証する場合は、全範囲 を選択します。

      認証方法

      認証方法の名前を入力します。右側の SAML コンテキスト ドロップダウン メニューを使用し、認証方法を urn:oasis:names:tc:SAML:2.0:ac:classes:Password にマッピングします。

      SAML 署名証明書

      SAML メタデータの見出しの横のリンクをクリックして、ディレクトリ管理メタデータをダウンロードします。

    4. ディレクトリ管理メタデータ ファイルは sp.xml として保存します。
    5. 追加 をクリックします。
  3. [ディレクトリ管理ポリシー] ページを使用して関連認証ポリシーを更新し、サード パーティ SSO2 ID プロバイダに認証をリダイレクトします。
    1. 管理 > ディレクトリ管理 > ポリシー の順に選択します。
    2. デフォルトのポリシー名をクリックします。
    3. ポリシー ルール の見出しの下にある認証方法をクリックし、既存の認証ルールを編集します。
    4. [ポリシー ルールの編集] ページで、パスワードの認証方法を適切な認証方法に変更します。

      この場合、方法を SSO2 に変更します。

    5. ポリシーの変更を保存するには 保存 をクリックします。
  4. 左側のナビゲーション ペインで、管理 > Single Sign On > 構成 の順に選択し、更新 をクリックして、sp.xml ファイルを vSphere にアップロードします。