ユーザー認証に対応するには、Active Directory over LDAP/IWA リンクを構成します。Directories Management 機能を使用して Active Directory とのリンクを構成し、すべてのテナントを対象にユーザー認証をサポートしたうえで、Directories Management ディレクトリとの間で同期するユーザーおよびグループを選択します。

始める前に

  • コネクタがインストールされ、アクティベーション コードで有効になっている必要があります。

  • [ユーザー属性] ページで必須のデフォルト属性を選択し、その他の属性を追加します。ディレクトリと同期する属性の選択を参照してください。

  • Active Directory から同期する Active Directory のグループとユーザーのリスト。

  • LDAP 経由の Active Directory の場合、ベース DN、バインド DN、およびバインド DN パスワードなどの情報が必要となります。

  • Active Directory(統合 Windows 認証)では、ドメインのバインド ユーザー UPN アドレスとパスワードなどの情報が必要となります。

  • SSL を介して Active Directory にアクセスする場合、SSL 証明書のコピーが必要です。

  • Active Directory(統合 Windows 認証)では、マルチフォレスト Active Directory を構成し、ドメイン ローカル グループに異なるフォレストのドメイン メンバーが含まれる場合、ドメイン ローカル グループが存在するドメインの管理者グループにバインド ユーザーを必ず追加してください。この操作を実行できない場合、これらのメンバーはドメイン ローカル グループ内に存在しなくなります。

  • テナント管理者として vRealize Automation コンソールにログインします。

このタスクについて

ディレクトリ管理での OpenLDAP の使用に関する情報と手順については、OpenLDAP ディレクトリ接続の構成を参照してください。

手順

  1. 管理 > ディレクトリ管理 > ディレクトリ を選択します。
  2. ディレクトリを追加 をクリックし、Active Directory over LDAP/IWA の追加 を選択します。
  3. [ディレクトリの追加] ページの ディレクトリ名 テキスト ボックスで Active Directory サーバの IP アドレスを指定します。
  4. ディレクトリ名 テキスト ボックスの下にあるラジオ ボタンを使用して、適切な Active Directory 通信プロトコルを選択します。

    オプション

    説明

    Windows 認証

    Active Directory(統合 Windows 認証) を選択します。

    LDAP

    LDAP 経由の Active Directory を選択します。

  5. [ディレクトリの同期と認証] セクションで、Active Directory から VMware Directories Managementディレクトリにユーザーを同期するコネクタを構成します。

    オプション

    説明

    同期コネクタ

    お使いのシステムに適したコネクタを選択します。各 vRealize Automation アプライアンスにはデフォルトのコネクタが含まれています。適切なコネクタの選択について不明な点がある場合は、システム管理者に問い合わせてください。

    認証

    適切なラジオ ボタンをクリックして、選択したコネクタで認証も行うかどうかを指定します。

    ディレクトリ検索属性

    ユーザー名を含む適切なアカウント属性を選択します。

  6. LDAP 経由の Active Directory を選択した場合は 「サーバの場所」 のテキスト ボックスに、または Active Directory(統合 Windows 認証)を選択した場合は「ドメインへの参加の詳細」テキスト ボックスに適切な情報を入力します。

    オプション

    説明

    サーバの場所として、LDAP 経由の Active Directory を選択した場合に表示されます

    • DNS サービスの場所を使用して Active Directory ドメインを検索する場合は、このディレクトリは DNS サービスの場所をサポートする チェック ボックスをオンのままにします。

    • 指定した Active Directory が DNS サービスの場所検索を使用しない場合、サーバの場所フィールドの このディレクトリは DNS サービスの場所をサポートする の横にあるチェック ボックスを選択解除し、適切なテキスト ボックスに Active Directory サーバ ホスト名とポート番号を入力します。

    • SSL を介して Active Directory にアクセスする必要がある場合は、[証明書] の下の このディレクトリではすべての接続に SSL を使用する必要がある チェック ボックスをオンにして、Active Directory SSL 証明書を指定します。

    ドメインへの参加の詳細 - Active Directory(統合 Windows 認証)を選択した場合に表示されます

    ドメイン名ドメイン管理者ユーザー名、および ドメイン管理者パスワード の各テキスト ボックスに適切な認証情報を入力します。

  7. バインド ユーザーの詳細セクションで、ディレクトリ同期を促進するための適切な認証情報を入力します。

    LDAP 経由の Active Directory の場合:

    オプション

    説明

    ベース DN

    検索ベース識別名を入力します。たとえば、cn=users,dc=corp,dc=local と入力します。

    バインド DN

    バインド識別名を入力します。たとえば、cn=fritz infra,cn=users,dc=corp,dc=local と入力します。

    Active Directory(統合 Windows 認証)の場合:

    オプション

    説明

    バインド ユーザー UPN

    そのドメインで認証できるユーザーのユーザー プリンシパル名を入力します。たとえば、UserName@example.com のように入力します。

    バインド DN パスワード

    バインド ユーザーのパスワードを入力します。

  8. 接続をテスト をクリックし、構成したディレクトリへの接続をテストします。

    Active Directory(統合 Windows 認証)を選択した場合、このボタンは表示されません。

  9. 保存して次へ をクリックします。

    [ドメインの選択] ページにドメインのリストが表示されます。

  10. この Active Directory 接続に対して表示されるドメインを確認および更新します。
    • [Active Directory(統合 Windows 認証)] で、この Active Directory 接続に関連付ける必要があるドメインを選択します。

    • LDAP 経由の Active Directory では、使用可能なドメインにチェックマークが付けられて表示されます。

      注:

      ディレクトリが作成された後に信頼するドメインを追加する場合、サービスは新規に追加されたドメインを自動的に検出しません。サービスによるドメインの検出を有効にするには、コネクタをドメインから切り離してから、ドメインに再度参加させる必要があります。コネクタがドメインに再度参加すると、信頼するドメインがリストに表示されます。

  11. 次へ をクリックします。
  12. Directories Management のディレクトリ属性名が、正しい Active Directory 属性にマッピングされていることを確認します。

    適切にマッピングされていない場合は、ドロップダウン メニューから正しい Active Directory 属性を選択します。

  13. 次へ をクリックします。
  14. 追加 をクリックして、Active Directory とこのディレクトリを同期するグループを選択します。

    Active Directory からグループを追加するときに、そのグループのメンバーがユーザー リストに含まれていない場合、これらのメンバーが追加されます。

    注:

    Directories Managementのユーザー認証システムでは、グループやユーザーを追加する場合 Active Directory からデータをインポートするため、その処理速度は Active Directory の機能によって制限されます。その結果、追加するグループとユーザーの数に応じて、インポート処理にかなりの時間がかかる場合があります。遅延または問題の発生を最小限に抑えるには、グループとユーザーを vRealize Automation の運用上必要な数に制限します。

    システム パフォーマンスの低下またはエラーが発生した場合は、不要なアプリケーションをすべて閉じて、Active Directory に十分なメモリが割り当てられるようにしてください。問題が解決されない場合は、必要に応じて Active Directory に割り当てるメモリを増やしてください。多数のユーザーおよびグループを持つシステムでは、場合によっては Active Directory に割り当てるメモリを最大 24 GB まで増やす必要があります。

  15. 次へ をクリックします。
  16. 追加 をクリックしてさらにユーザーを追加します。たとえば、CN-username,CN=Users,OU-myUnit,DC=myCorp,DC=com のように入力します。

    ユーザーを除外するには、追加 をクリックして特定のタイプのユーザーを除外するフィルタを作成します。フィルタリングの基準となるユーザー属性、クエリ ルールおよび値を選択します。

  17. 次へ をクリックします。
  18. このページで、ディレクトリと同期しているユーザー数とグループ数を確認します。

    ユーザー数とグループ数を変更する場合には、[編集] リンクをクリックします。

  19. Workspace にプッシュ をクリックして、ディレクトリとの同期を開始します。

タスクの結果

Active Directory への接続が完了し、選択したユーザーとグループがディレクトリに追加されます。これで、管理 > ユーザーとグループ > ディレクトリ ユーザーとディレクトリ グループを選択してユーザーとグループを適切な vRealize Automation ロールに割り当てることができます。詳細については、ディレクトリ ユーザーまたはグループへのロールの割り当て を参照してください。

次のタスク

vRealize Automation 環境に高可用性が構成されている場合は、ディレクトリ管理も高可用性向けに構成する必要があります。高可用性を実現するためのディレクトリ管理の構成を参照してください。

  • 認証方法を設定します。コネクタを認証にも使用している場合、ユーザーとグループがディレクトリと同期された後に、コネクタ上で認証方法を設定できます。サードパーティの認証 ID プロバイダを使用している場合、コネクタ上で該当の ID プロバイダを設定します。

  • デフォルトのアクセス ポリシーを確認します。デフォルトのアクセス ポリシーでは、すべてのネットワーク範囲にあるすべてのアプライアンスに対し、Web ブラウザにアクセスする場合のセッション タイムアウトを 8 時間に設定します。また、クライアント アプリケーションにアクセスする場合のセッション タイムアウトを、2,160 時間(90日間)に設定します。デフォルトのアクセス ポリシーは変更が可能です。Web アプリケーションをカタログに追加するときに、新しいアクセス ポリシーを作成することができます。

  • 管理コンソール、ユーザー ポータルおよびサインイン画面にカスタム ブランディングを適用します。