一般的に、ディレクトリ管理を最初に構成する場合、既存の vRealize Automation インフラストラクチャに付属するコネクタを使用し、ユーザー ID とパスワードをベースとした認証および管理用の Active Directory 接続を作成します。また、ディレクトリ管理と、Kerberos や RSA SecurID など、他の認証ソリューションを統合することができます。

ID プロバイダのインスタンスとして、Directories Management コネクタ インスタンス、サードパーティの ID プロバイダ インスタンス、または両方の組み合わせを利用できます。

Directories Management サービスで使用する ID プロバイダ インスタンスは、SAML 2.0 アサーションを使用してサービスと通信するネットワーク内のフェデレーション機関を作成します。

Directories Management サービスを初めて展開する場合、コネクタがサービスの最初の ID プロバイダになります。ユーザー認証と管理には既存の Active Directory インフラストラクチャが使用されます。

次の認証方法がサポートされます。これらの認証方法は、管理コンソールで構成します。

表 1. ディレクトリ管理でサポートされるユーザー認証タイプ

認証タイプ

説明

パスワード(オンプレミス展開)

Active Directory 以外何も構成しない場合、Directories Management は Active Directory によるパスワード認証をサポートします。この方法では、Active Directory に対して直接、ユーザーを認証します。

Kerberos(デスクトップ向け)

Kerberos 認証は、ドメイン ユーザーにアプリケーション ポータルへのシングル サインオン アクセスを提供します。ユーザーは、一度ネットワークにサインインすれば再度サインインする必要はありません。

証明書(オンプレミス展開)

証明書による認証を構成すると、クライアントはデスクトップやモバイル デバイス上の証明書、およびスマート カード アダプタを使用した認証を行うことができます。

証明書による認証では、ユーザーが認証に必要な物を用意し、知識を持つ必要があります。X.509 証明書は、公開鍵基盤の規格を使用して、証明書に含まれる公開鍵がユーザーに属するものであることを確認します。

RSA SecurID(オンプレミス展開)

RSA SecurID 認証が構成されている場合、Directories Management は RSA SecurID サーバの認証エージェントとして構成されます。RSA SecurID 認証では、ユーザーがトークン ベースの認証システムを使用する必要があります。RSA SecurID は、企業ネットワークの外部から Directories Management にアクセスするユーザーのための認証方法です。

RADIUS(オンプレミス展開)

RADIUS 認証は、二要素認証オプションを提供します。Directories Management サービスにアクセスできる RADIUS サーバをセットアップします。ユーザーがユーザー名とパスコードでログインすると、認証のためのアクセス要求が RADIUS サーバに送信されます。

RSA Adaptive Authentication(オンプレミス展開)

RSA 認証は、Active Directory によるユーザー名とパスワードのみの認証よりも強固な多要素認証を実現します。RSA Adaptive Authentication が有効の場合、リスク ポリシーで指定されたリスク インジケータが RSA ポリシー管理アプリケーションで設定されます。必要な認証プロンプトを決定するために、アダプティブ認証の Directories Management サービス構成が使用されます。

モバイル SSO(iOS 版)

iOS 版のモバイル SSO 認証は AirWatch により管理された iOS デバイスのシングル サインオン認証に使用されます。モバイル SSO(iOS 版)認証は、Directories Management サービスの一部であるキー配布センター (KDC) を使用します。KDC サービスは、この認証方法を有効にする前に VMware Identity Manager サービスで開始する必要があります。

モバイル SSO(Android 版)

Android 版のモバイル SSO 認証は AirWatch により管理された Android デバイスのシングル サインオン認証に使用されます。認証用の証明書を AirWatch から取得するため、Directories Management サービスと AirWatch の間でプロキシ サービスが設定されます。

パスワード(AirWatch コネクタ)

AirWatch Cloud Connector は、ユーザー パスワード認証のために Directories Management サービスに統合することができます。Directories Management サービスを構成して AirWatch ディレクトリからのユーザーを同期します。

ユーザーは、認証方法、デフォルトのアクセス ポリシー ルール、ネットワーク範囲、および構成する ID プロバイダ インスタンスに基づいて認証されます。認証方法が構成された後、使用される認証方法をデバイス タイプに応じて指定するアクセス ポリシー ルールを作成します。