システム管理者または仮想インフラストラクチャ管理者は、シングル サインオンを使用して、SSO ユーザーが vRealize Operations Manager 環境に安全にログインできるようにします。

シングル サインオン ソースが構成されると、ユーザーは認証のために SSO ID ソースにリダイレクトされます。一度ログインすると、ユーザーは再度ログインしなくても、vCenter Serverなどの他の vSphere コンポーネントにアクセスできます。

前提条件

  • シングル サインオン ソースと vRealize Operations Manager のサーバ システム時間が同期されていることを確認します。Network Time Protocol (NTP) を構成する必要がある場合は、『vRealize Operations Manager vApp デプロイおよび構成ガイド』のクラスタやノードのメンテナンスに関する説明を参照してください。
  • vCenter Serverによって Platform Services Controller にアクセスできることを確認します。詳細については、VMware vSphere 情報センターを参照してください。

手順

  1. vRealize Operations Manager に管理者としてログインします。
  2. メニューで、[管理] をクリックし、左側のペインで [アクセス] > [認証ソース] の順にクリックします。
  3. [[Add]] をクリックします。
  4. [ユーザーおよびグループのインポートのソースを追加] ダイアログ ボックスで、シングル サインオン ソースの情報を指定します。
    オプション 操作
    ソースの表示名 インポートのソースの名前を入力します。
    ソース タイプ [SSO SAML] が表示されていることを確認します。
    ホスト シングル サインオン サーバが存在するホスト マシンの IP アドレスまたは FQDN を入力します。ホスト マシンの FQDN を入力した場合は、vRealize Operations Manager クラスタ内のすべての非リモート コレクタ ノードがシングル サインオン ホストの FQDN を解決できることを確認します。
    ポート シングル サインオン サーバのリスン ポートを設定します。デフォルトでは、このポートは 443 に設定されます。
    ユーザー名 SSO サーバにログインできるユーザー名を入力します。
    パスワード パスワードを入力します。
    今後の構成のために管理者ロールを vRealize Operations Managerに付与しますか? vRealize Operations Manager のセットアップに変更を加えた場合に SSO ソースが自動的に再登録されるように、[はい] を選択します。[いいえ] を選択していて、vRealize Operations Manager のセットアップが変更された場合、シングル サインオン ソースを手動で再登録するまでシングル サインオン ユーザーはログインできなくなります。
    vRealize Operation のシングル サインオン URL に自動的にリダイレクトしますか? ユーザーが vCenter シングル サインオンのログイン ページにリダイレクトされるように、[はい] を選択します。[いいえ] を選択すると、ユーザーは認証のために SSO にリダイレクトされません。
    現在のソースを追加した後、シングル サインオン ユーザー グループをインポートしますか? SSO ソースのセットアップ完了時にウィザードが [ユーザー グループのインポート] ページにリダイレクトするように、[はい] を選択します。ユーザー アカウントをインポートする場合、またはユーザー グループを後の段階でインポートする場合は、[いいえ] を選択します。
    詳細オプション 環境内でロード バランサーを使用している場合は、ロード バランサーの IP アドレスを入力します。
  5. [テスト] をクリックしてソースの接続をテストし、[OK] をクリックします。
    証明書の詳細が表示されます。
  6. [この証明書を受け入れる] チェック ボックスをオンにし、[OK] をクリックします。
  7. [ユーザー グループのインポート] ダイアログ ボックスで、別のマシン上の SSO サーバからユーザー アカウントをインポートします。
    オプション 操作
    インポート元 シングル サインオン ソースを構成するときに指定した、シングル サインオン サーバを選択します。
    ドメイン名 ユーザー グループのインポート元のドメイン名を選択します。 PSC で Active Directory が LDAP ソースとして構成されている場合、vCenter Serverが同じドメイン内に置かれていれば、ユニバーサル グループとドメイン ローカル グループのみをインポートできます。
    結果の最大表示件数 検索の実行時に表示する結果の件数を入力します。
    検索プリフィックス ユーザー グループの検索に使用するプリフィックスを入力します。
  8. 表示されるユーザー グループのリストで、1 つ以上のユーザー グループを選択し、[次へ] をクリックします。
  9. [ロールおよびオブジェクト] ペインで、[ロールの選択] ドロップダウン メニューからロールを選択し、[このロールをグループに割り当てます] チェック ボックスを選択します。
  10. グループのユーザーがこのロールを保有している場合にアクセスできるオブジェクトを選択します。
    ユーザーが vRealize Operations Manager のすべてのオブジェクトにアクセスできるように権限を割り当てるには、 [システムのすべてのオブジェクトへのアクセスを許可] チェック ボックスを選択します。
  11. [OK] をクリックします。
  12. シングル サインオンについて十分に理解し、シングル サインオン ソースを正しく構成していることを確認します。
    1. vRealize Operations Manager からログアウトします。
    2. シングル サインオン サーバからインポートしたユーザー グループに属するユーザーのいずれかとして、vSphere Web Clientにログインします。
    3. 新しいブラウザ タブで、vRealize Operations Manager 環境の IP アドレスを入力します。
    4. シングル サインオン サーバが正しく構成されていれば、ユーザー認証情報を入力する必要なく vRealize Operations Manager にログインできます。