別のマシンにあるユーザー アカウント情報をインポートするときは、ソース マシンからユーザー アカウントをインポートするために使用する基準を定義する必要があります。

認証ソースを追加または編集できる場所

  1. 認証ソースを追加するには、左側のメニューで [管理] をクリックし、[認証ソース] タイルをクリックします。
  2. [[Add]] をクリックします。
  3. 認証ソースを編集するには、[編集] をクリックします。
表 1. 認証ソース、ユーザーおよびグループのインポート用のソースの追加
オプション 説明
ソースの表示名 認証ソースに割り当てる名前。
ソース タイプ
注: [ソース タイプ] ドロップダウン ボックスで選択したオプションから、このダイアログ ボックスで使用可能なオプションが決定されます。
ユーザー アカウントのデータベースが存在するソース マシンにアクセスするための、ディレクトリ サービス アクセス テクノロジーの種類を表します。LDAP とシングル サインオンの 2 つのタイプのデータベースがあります。次のオプションがあります。
  • SSO SAML:ユーザーが複数のアプリケーションに対してシングル サインオンを実行できるようにするための、Web ブラウザのシングル サインオン用の XML ベースの標準。
  • Open LDAP:ユーザー アカウントをインポートするために別のマシン上の LDAP データベースへのアクセスを提供する、プラットフォームに依存しないプロトコル。
  • その他:Linux/Mac マシン上の LDAP データベースからユーザー アカウントをインポートするために使用されるその他の LDAP ベースのディレクトリ サービス(Novel、OpenDJ など)を指定します。
  • VMware Identity Manager:ユーザーとグループの管理、リソースとユーザー認証の管理、ポリシーへのアクセス、ユーザーへのリソースの資格付与を行うプラットフォーム。
表 2. 認証ソースの [ユーザーおよびグループのインポートのソースを追加] - [SSO SAML] が選択されている場合に使用可能なオプション。
名前 説明
ホスト シングル サインオンのユーザー サーバが存在するホスト マシンの名前または IP アドレス。
ポート シングル サインオンのリスン ポート。デフォルトでは、このポートは 443 に設定されます。
ユーザー名 シングル サインオン ホスト マシンにログインできるユーザー アカウントの名前。
パスワード シングル サインオン ホスト マシンにログインできるユーザー アカウントのパスワード。
今後の構成のために管理者ロールを vRealize Operations に付与しますか? シングル サインオン ソースを作成すると、シングル サインオン サーバに新しい vRealize Operations ユーザー アカウントが作成されます。
  • vRealize Operations のセットアップが変更された場合に SSO ソースの構成に使用されるように、vRealize Operations に管理ロールを付与するには、[はい] を選択します。
  • [いいえ] を選択していて、vRealize Operations のセットアップが変更された場合、SSO ソースを再登録するまで SSO ユーザーはログインできなくなります。
vRealize Operation のシングル サインオン URL に自動的にリダイレクトしますか? シングル サインオン ソースを構成した後は、ユーザーは vCenter SSO サーバにリダイレクトされます。
  • [はい] を選択すると、ユーザーは認証のためにシングル サインオン サーバにリダイレクトされます。
  • [いいえ] を選択すると、ユーザーは vRealize Operations のログイン ページでサインインする必要があります。
現在のソースを追加した後、シングル サインオン ユーザー グループをインポートしますか? シングル サインオン ソースをセットアップしている場合は、シングル サインオン ユーザーが自分のシングル サインオン権限でシステムにアクセスできるように、ユーザーとユーザー グループを vRealize Operations にインポートします。
  • [はい] を選択すると、SSO ソースのセットアップ完了時に、ユーザー グループをインポートできるように、ウィザードが [ユーザー グループのインポート] ページにリダイレクトします。
  • ユーザー アカウントをインポートする場合、またはユーザー グループを後の段階でインポートする場合は、[いいえ] を選択します。
詳細 システムでロード バランサーを使用している場合は、ロード バランサーの IP アドレスを入力します。
テスト

指定された認証情報を使用してホスト マシンに到達できるかをテストします。

表 3. 認証ソースの [ユーザーおよびグループのインポートのソースを追加] - [Open LDAP][Active Directory]、または [その他] が選択されている場合に使用可能なオプション。
オプション 説明

統合モードの基本設定

LDAP インポート ソースを vRealize Operations のインスタンスと統合するには、基本設定を適用します。

基本統合モードを使用して LDAP データベースが存在するホスト マシンを vRealize Operations に検出させ、ユーザーの検索に使用されるベース識別名(ベース DN)を設定します。vRealize Operations がホストとベース DN の詳細を表示するために使用するドメインの名前とサブドメインを指定するとともに、LDAP ホスト マシンにログインできるユーザーの名前とパスワードを指定します。

基本モードでは、DNS サーバからホストとポートの取得を試行し、SSL/TLS が有効になったサーバに指定されている設定情報とともにドメインのグローバル カタログとドメイン コントローラを取得します。

  • ドメイン / サブドメイン。LDAP ユーザー アカウントのドメイン情報。
    注: 複数のサブドメインからユーザーとグループをインポートするには、サブドメインではなくルートの domain.com を使用します。サブドメインを使用すると、特定のサブドメインのグループとユーザーで vRealize Operations の可視性が制限されます。
  • SSL/TLS の使用。選択されている場合は、LDAP データベースからユーザーをインポートするときに、vRealize Operations は Secure Sockets Layer/Transport Layer Security (SSL/TLS) プロトコルを使用して安全な通信を確立します。SSL/TLS 証明書をインストールする必要はありません。代わりに、vRealize Operations から、サムプリントを表示して確認することと、LDAP サーバ証明書を受け入れることを求められます。証明書を受け入れると、LDAP 通信が開始されます。
  • Active Directory が自己署名証明書を使用する場合は、証明書に [サブジェクト代替名] フィールドが含まれている必要があります。vRealize Operations が Active Directory 証明書を正常に検証して Active Directory と統合することができるのは、[サブジェクト代替名] フィールドで指定されているホスト名または IP アドレスが、証明書が使用されるドメイン コントローラのアドレスに一致する場合のみです。
  • ユーザー名:LDAP ホスト マシンにログインできるユーザー アカウントの名前。
  • パスワードのリセット。LDAP ホスト マシンにログインできるユーザー アカウントのパスワードをリセットします。
  • 構成されたグループのユーザー メンバーシップを自動的に同期する。選択されている場合、vRealize Operations はインポートされた LDAP ユーザーをユーザー グループにマップできます。
  • ホスト。LDAP ユーザー データベースが存在するホスト マシンの名前または IP アドレス。
  • ポート。インポートに使用されるポート。389 番ポート(SSL/TLS を使用していない場合)、636 番ポート(SSL/TLS を使用している場合)、またはユーザーが選択した別のポート番号を使用します。グローバル カタログ ポートは、非 SSL/TLS の場合 3268、SSL/TLS の場合 3269 です。
  • ベース DN。ユーザー検索のためのベース識別名。vRealize Operations は、ベース DN の配下のユーザーのみを検索対象とします。ベース DN はインポートされた識別名 (DN) の基本エントリであり、ユーザー名のベース エントリとなります。ベース DN があれば、ユーザー アカウントへのフル パスなどのその他の関連情報を指定したり、関連ドメイン コンポーネントを含めたりする必要はありません。vRealize Operations ではベース DN が自動で入力されますが、管理者はベース DN を確認してから LDAP 設定を保存する必要があります。
  • 共通名。ユーザー名を特定するために使用する LDAP 属性。Active Directory のデフォルトの属性は userPrincipalName です。

統合モードの詳細設定

LDAP インポート ソースを vRealize Operations のインスタンスと統合するには、詳細設定を適用します。

ホスト名とベース識別名(ベース DN)を手動で提供して vRealize Operations にユーザーをインポートさせるには、詳細統合モードを使用します。LDAP ホスト マシンにログインできるユーザーの名前とパスワードを指定します。

  • ホスト。LDAP ユーザー データベースが存在するホスト マシンの名前または IP アドレス。
  • SSL/TLS の使用。選択されている場合は、LDAP データベースからユーザーをインポートするときに、vRealize Operations は Secure Sockets Layer/Transport Layer Security (SSL/TLS) プロトコルを使用して安全な通信を確立します。SSL/TLS 証明書をインストールする必要はありません。代わりに、vRealize Operations から、サムプリントを表示して確認することと、LDAP サーバ証明書を受け入れることを求められます。証明書を受け入れると、LDAP 通信が開始されます。
  • Active Directory が自己署名証明書を使用する場合は、証明書に [サブジェクト代替名] フィールドが含まれている必要があります。vRealize Operations が Active Directory 証明書を正常に検証して Active Directory と統合することができるのは、[サブジェクト代替名] フィールドで指定されているホスト名または IP アドレスが、証明書が使用されるドメイン コントローラのアドレスに一致する場合のみです。
  • ベース DN。ユーザー検索のためのベース識別名。vRealize Operations は、ベース DN の下にあるユーザーのみを見つけることができます。ベース DN はインポートされた識別名 (DN) の基本エントリであり、ユーザー名のベース エントリとなります。ベース DN があれば、ユーザー アカウントへのフル パスなどのその他の関連情報を指定したり、関連ドメイン コンポーネントを含めたりする必要はありません。vRealize Operations ではベース DN が自動で入力されますが、管理者はベース DN を確認してから LDAP 設定を保存する必要があります。
  • ユーザー名:LDAP ホスト マシンにログインできるユーザー アカウントの名前。
  • パスワードのリセット。LDAP ホスト マシンにログインできるユーザー アカウントのパスワードをリセットします。
  • 構成されたグループのユーザー メンバーシップを自動的に同期する。選択されている場合、vRealize Operations はインポートされた LDAP ユーザーをユーザー グループにマップできます。
  • 共通名。ユーザー名を特定するために使用する LDAP 属性。Active Directory のデフォルトの属性は userPrincipalName です。
  • ポート。インポートに使用されるポート。389 番ポート(SSL/TLS を使用していない場合)、636 番ポート(SSL/TLS を使用している場合)、またはユーザーが選択した別のポート番号を使用します。グローバル カタログ ポートは、非 SSL/TLS の場合 3268、SSL/TLS の場合 3269 です。

検索基準

検索基準設定を表示します。

vRealize Operations は検索基準の一部を自動的に表示しますが、管理者は設定を検証し、LDAP タイプのプロパティどおりに設定値が正しいことを確認する必要があります。

  • グループ検索基準。LDAP グループを検索するための検索基準。指定しなかった場合、vRealize Operations はデフォルトの検索パラメータ (|(objectClass=group)(objectClass=groupOfNames)) を使用します。
  • メンバー属性。メンバーのリストを含むグループ オブジェクトの属性の名前。指定しなかった場合、vRealize Operations はデフォルト メンバーを使用します。
  • ユーザー検索基準。LDAP ユーザーを検索してキャッシュするためにメンバー フィールドを使用する検索基準。key=value ペアのセットを、(|(key1=value1)(key2=value2)) の形式で入力します。指定しなかった場合、vRealize Operations は各ユーザーを個別に検索します。この操作には時間がかかる場合があります。
  • メンバー一致フィールド。グループ オブジェクトのメンバー エントリと一致するユーザー オブジェクトの属性名。指定しなかった場合、vRealize Operations はメンバー エントリを識別名として扱います。
  • LDAP コンテキスト属性。vRealize Operations が LDAP コンテキスト環境に適用する属性。key=value ペアのセットをカンマで区切って、java.naming.referral=ignore,java.naming.ldap.deleteRDNfalse のように入力します。

テスト

指定された認証情報を使用してホスト マシンに到達できるかをテストします。接続テストが正常に完了しても、検索機能を使用するユーザーは LDAP ソースにおける読み取り権限を所有している必要があります。

このテストはベース DN または共通名のエントリの正確さを確認するものではありません。

表 4. 認証ソースの [ユーザーおよびグループのインポートのソースを追加] - VMware Identity Manager が選択されている場合に使用可能なオプション。
オプション 説明
ホスト シングル サインオン ユーザー サーバが存在する VMware Identity Manager マシンの名前または IP アドレス。
ポート シングル サインオンのリスン ポート。デフォルトでは、このポートは 443 に設定されます。
テナント これは省略可能なフィールドです。
ユーザー名 VMware Identity Manager システム ドメイン テナント管理者のユーザー名。
パスワード VMware Identity Manager システム ドメイン テナント管理者のパスワード。
リダイレクト FQDN/IP

VMware Identity Manager からの認証が正常に完了した後、ユーザーがリダイレクトされる vRealize Operations ノードの IP アドレス。デフォルトでは、vRealize Operations プライマリ ノードの IP アドレスになります。

注: プライマリ レプリカが vRealize Operations 上のプライマリ ノードになる場合、 vRealize Operations 管理者は、IP アドレスを手動で編集し、現在のプライマリ ノードの IP アドレスに設定する必要があります。
テスト

指定された認証情報を使用して VMware Identity Manager マシンに到達できるかをテストします。