別のマシンにあるユーザー アカウント情報をインポートするときは、ソース マシンからユーザー アカウントをインポートするために使用する基準を定義する必要があります。

認証ソースを追加または編集できる場所

管理 > 認証ソース を選択し、追加 アイコンをクリックして、認証ソースを追加または編集できます。編集 アイコンをクリックして、認証ソースを編集できます。

表 1. 認証ソース、ユーザーおよびグループのインポート用のソースの追加

オプション

説明

ソースの表示名

認証ソースに割り当てる名前。

ソース タイプ

注:

ソース タイプ ドロップダウン ボックスで選択したオプションから、このダイアログ ボックスで使用可能なオプションが決定されます。

ユーザー アカウントのデータベースが存在するソース マシンにアクセスするための、ディレクトリ サービス アクセス テクノロジーの種類を表します。LDAP とシングル サインオンの 2 つのタイプのデータベースがあります。次のオプションがあります。

  • SSO SAML:ユーザーが複数のアプリケーションに対してシングル サインオンを実行できるようにするための、Web ブラウザのシングル サインオン用の XMLベースの標準。

  • Open LDAP:ユーザー アカウントをインポートするために別のマシン上の LDAP データベースへのアクセスを提供する、プラットフォームに依存しないプロトコル。

  • その他:Linux/Mac マシン上の LDAP データベースからユーザー アカウントをインポートするために使用されるその他の LDAP ベースのディレクトリ サービス(Novel、OpenDJ など)を指定します。

表 2. 認証ソースの [ユーザーおよびグループのインポートのソースを追加] - SSO SAML が選択されている場合に使用可能なオプション

名前

説明

ホスト

シングル サインオンのユーザー サーバが存在するホスト マシンの名前または IP アドレス。

ポート

シングル サインオンのリスン ポート。デフォルトでは、このポートは 443 に設定されます。

ユーザー名

シングル サインオン ホスト マシンにログインできるユーザー アカウントの名前。

パスワード

シングル サインオン ホスト マシンにログインできるユーザー アカウントのパスワード。

今後の構成のために管理者ロールを vRealize Operations Managerに付与しますか?

シングル サインオン ソースを作成すると、シングル サインオン サーバに新しい vRealize Operations Managerユーザー アカウントが作成されます。

  • vRealize Operations Managerのセットアップが変更された場合に SSO ソースの構成に使用されるように、vRealize Operations Manager に管理ロールを付与するには、はい を選択します。

  • いいえ を選択していて、vRealize Operations Manager のセットアップが変更された場合、SSO ソースを再登録するまで SSO ユーザーはログインできなくなります。

vRealize Operation のシングル サインオン URL に自動的にリダイレクトしますか?

シングル サインオン ソースを構成した後は、ユーザーは vCenter SSO サーバにリダイレクトされます。

  • はい を選択すると、ユーザーは認証のためにシングル サインオン サーバにリダイレクトされます。

  • いいえ を選択すると、ユーザーは vRealize Operations Manager のログイン ページでサインインする必要があります。

現在のソースを追加した後、シングル サインオン ユーザー グループをインポートしますか?

シングル サインオン ソースをセットアップしている場合は、シングル サインオン ユーザーが自分のシングル サインオン権限でシステムにアクセスできるように、ユーザーとユーザー グループを vRealize Operations Managerにインポートします。

  • はい を選択すると、SSO ソースのセットアップ完了時に、ユーザー グループをインポートできるように、ウィザードが [ユーザー グループのインポート] ページにリダイレクトします。

  • ユーザー アカウントをインポートする場合、またはユーザー グループを後の段階でインポートする場合は、いいえ を選択します。

詳細

システムでロード バランサーを使用している場合は、ロード バランサーの IP アドレスを入力します。

テスト

指定された認証情報を使用してホスト マシンに到達できるかをテストします。

表 3. 認証ソースの [ユーザーおよびグループのインポートのソースを追加] - Open LDAPActive Directory、または その他 が選択されている場合に使用可能なオプション

オプション

説明

統合モードの基本設定

LDAP インポート ソースを vRealize Operations Managerのインスタンスと統合するには、基本設定を適用します。

基本統合モードを使用して LDAP データベースが存在するホスト マシンをvRealize Operations Managerに検出させ、ユーザーの検索に使用されるベース識別名(ベース DN)を設定します。vRealize Operations Managerがホストとベース DN の詳細を表示するために使用するドメインの名前とサブドメインを指定するとともに、LDAP ホスト マシンにログインできるユーザーの名前とパスワードを指定します。

基本モードでは、vRealize Operations Managerは DNS サーバからホストとポートの取得を試み、SSL/TLS が有効になったサーバに指定されている設定情報とともにドメインのグローバル カタログとドメイン コントローラを取得します。

  • ドメイン / サブドメイン。LDAP ユーザー アカウントのドメイン情報。

  • SSL/TLS の使用。選択されている場合は、LDAP データベースからユーザーをインポートするときに、vRealize Operations Manager はセキュア ソケット レイヤ/トランスポート レイヤ セキュリティ (SSL/TLS) プロトコルを使用して安全な通信を確立します。SSL/TLS 証明書をインストールする必要はありません。代わりに、vRealize Operations Manager から、サムプリントを表示して確認することと、LDAP サーバ証明書を受け入れることを求められます。証明書を受け入れると、LDAP 通信が開始されます。

  • ユーザー名:LDAP ホスト マシンにログインできるユーザー アカウントの名前。

  • パスワードのリセット。LDAP ホスト マシンにログインできるユーザー アカウントのパスワードをリセットします。

  • 構成されたグループのユーザー メンバーシップを自動的に同期する。選択されている場合は、vRealize Operations Manager はインポートされた LDAP ユーザーをユーザー グループにマップできます。

  • ホスト。LDAP ユーザー データベースが存在するホスト マシンの名前または IP アドレス。

  • ポート。インポートに使用されるポート。389 番ポート(SSL/TLS を使用していない場合)、636 番ポート(SSL/TLS を使用している場合)、またはユーザーが選択した別のポート番号を使用します。グローバル カタログ ポートは、非 SSL/TLS の場合 3268、SSL/TLS の場合 3269 です。

  • ベース DN。ユーザー検索用のベース識別名。vRealize Operations Manager は、ベース DN の配下のユーザーのみを検索対象とします。ベース DN はインポートされた識別名 (DN) の基本エントリであり、ユーザー名のベース エントリとなります。ベース DN があれば、ユーザー アカウントへのフル パスなどのその他の関連情報を指定したり、関連ドメイン コンポーネントを含めたりする必要はありません。vRealize Operations Manager ではベース DN が自動で入力されますが、管理者はベース DN を確認してから LDAP 設定を保存する必要があります。

  • 共通名。ユーザー名を特定するために使用する LDAP 属性。Active Directory のデフォルトの属性は userPrincipalName です。

統合モードの詳細設定

LDAP インポート ソースを vRealize Operations Managerのインスタンスと統合するには、詳細設定を適用します。

ホスト名とベース識別名(ベース DN)を手動で提供してvRealize Operations Managerにユーザーをインポートさせるには、詳細統合モードを使用します。LDAP ホスト マシンにログインできるユーザーの名前とパスワードを指定します。

  • ホスト。LDAP ユーザー データベースが存在するホスト マシンの名前または IP アドレス。

  • SSL/TLS の使用。選択されている場合は、LDAP データベースからユーザーをインポートするときに、vRealize Operations Manager はセキュア ソケット レイヤ/トランスポート レイヤ セキュリティ (SSL/TLS) プロトコルを使用して安全な通信を確立します。SSL/TLS 証明書をインストールする必要はありません。代わりに、vRealize Operations Manager から、サムプリントを表示して確認することと、LDAP サーバ証明書を受け入れることを求められます。証明書を受け入れると、LDAP 通信が開始されます。

  • ベース DN。ユーザー検索用のベース識別名。vRealize Operations Manager は、ベース DN の配下のユーザーのみを検索対象とします。ベース DN はインポートされた識別名 (DN) の基本エントリであり、ユーザー名のベース エントリとなります。ベース DN があれば、ユーザー アカウントへのフル パスなどのその他の関連情報を指定したり、関連ドメイン コンポーネントを含めたりする必要はありません。vRealize Operations Manager ではベース DN が自動で入力されますが、管理者はベース DN を確認してから LDAP 設定を保存する必要があります。

  • ユーザー名:LDAP ホスト マシンにログインできるユーザー アカウントの名前。

  • パスワードのリセット。LDAP ホスト マシンにログインできるユーザー アカウントのパスワードをリセットします。

  • 構成されたグループのユーザー メンバーシップを自動的に同期する。選択されている場合は、vRealize Operations Manager はインポートされた LDAP ユーザーをユーザー グループにマップできます。

  • 共通名。ユーザー名を特定するために使用する LDAP 属性。Active Directory のデフォルトの属性は userPrincipalName です。

  • ポート。インポートに使用されるポート。389 番ポート(SSL/TLS を使用していない場合)、636 番ポート(SSL/TLS を使用している場合)、またはユーザーが選択した別のポート番号を使用します。グローバル カタログ ポートは、非 SSL/TLS の場合 3268、SSL/TLS の場合 3269 です。

検索基準

検索基準設定を表示します。

vRealize Operations Managerは検索基準の一部を自動的に表示しますが、管理者は設定を検証し、LDAP タイプのプロパティどおりに設定値が正しいことを確認する必要があります。

  • グループ検索基準。LDAP グループを検索するための検索基準。指定しなかった場合、vRealize Operations Manager はデフォルトの検索パラメータ (|(objectClass=group)(objectClass=groupOfNames)) を使用します。

  • メンバー属性。メンバーのリストを含むグループ オブジェクトの属性の名前。指定しなかった場合、vRealize Operations Manager はデフォルト メンバーを使用します。

  • ユーザー検索基準。LDAP ユーザーを検索してキャッシュするためにメンバー フィールドを使用する検索基準。key=value ペアのセットを、(|(key1=value1)(key2=value2)) の形式で入力します。指定しなかった場合、vRealize Operations Manager は各ユーザーを個別に検索します。この操作には時間がかかる場合があります。

  • メンバー一致フィールド。グループ オブジェクトのメンバー エントリと一致するユーザー オブジェクトの属性名。指定しなかった場合、vRealize Operations Manager はメンバー エントリを識別名として扱います。

  • LDAP コンテキスト属性。vRealize Operations Manager が LDAP コンテキスト環境に適用する属性。key=value ペアのセットをカンマで区切って、java.naming.referral=ignore,java.naming.ldap.deleteRDNfalse のように入力します。

テスト

指定された認証情報を使用してホスト マシンに到達できるかをテストします。接続テストが正常に完了しても、検索機能を使用するユーザーは LDAP ソースにおける読み取り権限を所有している必要があります。

このテストはベース DN または共通名のエントリの正確さを確認するものではありません。