統合 ID 管理により、1 つのドメインの電子 ID と属性を異なるドメインで受け入れ、これらを使用してリソースにアクセスすることが可能です。vCenter Single Sign-On と VMware Identity Manager を使用し、vRealize Automation、vRealize Operations Manager、vSphere Web Client 間の統合 ID 管理を有効にできます。
統合 ID 環境では、統合 ID システムの操作方法に基づいて、ユーザーを個人設定と呼ばれるカテゴリに分類します。ユーザーはシステムを使用してサービスを受け取ります。管理者はシステム間のフェデレーションを構成して管理します。開発者はユーザーによって消費されるサービスを作成して拡張します。次の表に、これらの個人設定が統合 ID 管理を使用するメリットを示します。
ユーザーのタイプ | 統合 ID のメリット |
---|---|
ユーザー |
|
システム管理者 |
|
開発者 |
|
VMware Identity Manager と vCenter Single Sign-On 間のフェデレーションは、両者間の SAML 接続を作成することでセットアップできます。vCenter Single Sign-On は ID プロバイダとして機能し、VMware Identity Manager はサービス プロバイダとして機能します。ID プロバイダは電子 ID を提供します。サービス プロバイダは電子 ID を評価して受け入れた後でリソースへのアクセスを許可します。
vCenter Single Sign-On によって認証されるユーザーの場合、同じアカウントが VMware Identity Manager と vCenter Single Sign-On に存在している必要があります。少なくとも、ユーザーの userPrinicpalName が両方で一致している必要があります。その他の属性は、SAML サブジェクトの識別に使用されないため、異なっても構いません。
[email protected] など、vCenter Single Sign-On のローカル ユーザーの場合、少なくともユーザーの userPrinicpalName が一致する VMware Identity Manager に対応するアカウントを作成する必要があります。対応するアカウントは、手動で作成するか、または VMware Identity Manager のローカル ユーザー作成 API を使用したスクリプトで作成する必要があります。
SSO2 と vIDM 間の SAML をセットアップするには、次のタスクを実行します。
- SAML トークンを vCenter Single Sign-On から VMware Identity Manager にインポートしてから VMware Identity Manager のデフォルトの認証を更新します。
- VMware Identity Manager で、vCenter Single Sign-On をサードパーティ ID プロバイダとして VMware Identity Manager で構成し、VMware Identity Manager のデフォルトの認証を更新します。
- vCenter Single Sign-On で、VMware Identity Managersp.xml ファイルをインポートして VMware Identity Manager をサービス プロバイダとして構成します。
次の製品ドキュメントを参照してください。
- vRealize Automation 用の ID プロバイダとしての SSO2 の構成の詳細については、VMware vCloud Automation Center 6.1 での VMware vCenter SSO 5.5 U2 の使用 を参照してください。
- vRealize Automation VMware Identity Manager ドキュメントについては、VMware Identity Manager の Single Sign-On パスワードの更新 を参照してください。
- ディレクトリ管理と SSO2 間のフェデレーションの構成方法の詳細については、ディレクトリ管理と SSO2 間の SAML フェデレーションの設定 を参照してください。
- vRealize Operations Manager SSO ドキュメントについては、vRealize Operations Manager の Single Sign-On ソースの設定 を参照してください。