VMware Identity Manager のシングル サインオン認証を介して vRealize Log Insight で Active Directory グループを使用できます。サイトでは Active Directory のサポートを有効にするための VMware Identity Manager 認証が構成され、サーバ同期が実行されている必要があります。

また、vRealize Log Insight にグループ情報をインポートする必要があります。

VMware Identity Manager ユーザーは、個々のユーザーに割り当てられたロールに加え、ユーザーが属するグループに割り当てられたロールも継承します。たとえば、グループ A を [表示限定管理者] のロールに割り当て、ユーザーを [ユーザー] のロールに割り当てることができます。同じユーザーをグループ A に割り当てることもできます。ユーザーがログインすると、[表示限定管理者] ロールと [ユーザー] ロールの両方の権限を持つグループ ロールが継承されます。

このグループは VMware Identity Manager のローカル グループではなく、VMware Identity Manager と同期する Active Directory グループです。

前提条件

  • UPN 属性 (userPrincipalName) が構成されていることを確認します。これは、[ID とアクセス管理] > [ユーザー属性]VMware Identity Manager 管理者インターフェイスから構成できます。
  • スーパー管理者ユーザー、または 編集 アクセス レベルの アクセス制御 権限を持つロールに関連付けられているユーザーとして vRealize Log Insight の Web ユーザー インターフェイスにログインしていることを確認します。Web ユーザー インターフェイスの URL 形式は https://log-insight-host です。log-insight-hostvRealize Log Insight 仮想アプライアンスの IP アドレスまたはホスト名です。

  • vRealize Log InsightVMware Identity Manager サポートが構成されていることを確認します。VMware Identity Manager によるユーザー認証の有効化を参照してください。

手順

  1. メイン メニューを展開し、[管理] > [アクセス制御] に移動します。
  2. [ユーザー] をクリックします。
  3. Directory グループ テーブルにスクロールして、[新規グループ] をクリックします。
  4. [タイプ] ドロップダウン メニューから、[VMware Identity Manager] を選択します。
    VMware Identity Manager のサポートを設定するときに指定したデフォルトのドメイン名が [ドメイン] テキスト ボックスに表示されます。
  5. ドメイン名をグループの Active Directory 名に変更します。
  6. 追加するグループの名前を入力します。
  7. 右側の [ロール] リストから、1 つ以上の定義済みまたはカスタムのユーザー ロールを選択します。
    オプション 説明
    [ダッシュボード ユーザー] ダッシュボード ユーザーは vRealize Log Insight[ダッシュボード] ページのみを使用できます。
    [スーパー管理者] スーパー管理者ユーザーは、vRealize Log Insight のすべての機能にアクセスし、vRealize Log Insight を管理し、他のすべてのユーザーのアカウントを管理できます。
    [ユーザー] ユーザーは、vRealize Log Insight のすべての機能にアクセスできます。ユーザーは、ログ イベントの表示、ログを検索およびフィルタリングするためのクエリの実行、自分のユーザー領域へのコンテンツ パックのインポート、アラートの表示、自分のユーザー アカウントの管理(パスワードやメール アドレスの変更)ができます。ユーザーには、管理オプションへのアクセス権がなく、他のユーザーとのコンテンツの共有、アラートの作成または変更、他のユーザーのアカウントの変更、マーケットプレイスからのコンテンツ パックのインストールはできません。ただし、自分だけが見ることができるユーザー領域にコンテンツ パックをインポートできます。
    [表示限定管理者] 表示限定管理者ユーザーは、管理者情報を表示でき、完全なユーザー アクセス権を持ち、共有コンテンツを編集できます。
    カスタム ロール カスタム ロールを持つユーザーは、ロールに関連付けられた権限に基づいて情報を表示または変更できます。
    事前定義済みロールまたはカスタム ロールに関連付けられている権限を表示するには、 [アクセス制御] ページで [ロール] タブをクリックし、そのロールに対して [権限の表示] をクリックします。
  8. [保存] をクリックします。
    認証の場合、 vRealize Log Insight はユーザーのドメインがグループにリンクされているかどうかを確認します。ドメインがグループに属していない場合、 vRealize Log Insight はそのドメインについて、グループに関連付けられているドメインとの信頼を確立しているかどうかを確認します。ドメイン間の信頼が確立されている場合、ユーザーは vRealize Log Insight にログインでき、対応するユーザー アカウントが [アクセス制御] > [ユーザー] のユーザー テーブルに追加されます。

結果

追加したグループに属するユーザーは、ユーザー自身の VMware Identity Manager アカウントを使用して vRealize Log Insight にログインし、ユーザーが属するグループと同じ権限レベルを持つことができます。