VMware Cloud Foundation の ID プロバイダとして AD FS を使用する
vCenter Single Sign-On を使用する代わりに、Active Directory フェデレーション サービス (AD FS) を外部 ID プロバイダとして使用するように を構成することができます。この構成では、外部 ID プロバイダが vCenter Server の代わりに ID ソースと通信します。
Active Directory フェデレーション サービスの要件:
- Windows Server 2016 以降の AD FS がすでにデプロイされている必要があります。
- AD FS は Active Directory に接続されている必要があります。
- vCenter Server 管理者権限の付与対象となるユーザーを含む vCenter Server 管理者グループを AD FS 内に作成しました。
AD FS の構成の詳細については、Microsoft 社のドキュメントを参照してください。
vCenter Server およびその他の要件:
- vSphere 7.0 以降
- vCenter Server は、AD FS 検出エンドポイントに接続可能で、さらに検出エンドポイント メタデータにアドバタイズされている認可、トークン、ログアウト、JWKS、およびその他のエンドポイントに接続可能である必要があります。
- フェデレーションされた認証に必要な vCenter Server ID プロバイダを作成、更新、削除するには、VcIdentityProviders.Manage権限が必要です。ユーザーが ID プロバイダの構成情報のみを表示するように制限するには、VcIdentityProviders.Read権限を割り当てます。
に追加できる外部 ID プロバイダは 1 つのみです。ID プロバイダを vCenter Single Sign-On から AD FS に変更すると、LDAP 経由の Active Directory または OpenLDAP ID ソースから に追加したユーザーとグループがすべて削除されます。システム ドメインのユーザーとグループ(
vsphere.local
など)は影響を受けません。- ナビゲーション ペインで、をクリックします。
- ID プロバイダをクリックします。
- ID プロバイダの変更をクリックし、AD FSを選択します。ID プロバイダの接続ウィザードが開きます。
- 次へをクリックします。
- 前提条件を確認するチェックボックスを選択して、次へをクリックします。
- AD FS サーバ証明書が公的に信頼されている認証局によって署名されている場合は、次へをクリックします。自己署名証明書を使用している場合は、信頼済みルート証明書ストアに追加された AD FS ルート CA 証明書を追加します。
- 参照をクリックします。
- 証明書に移動し、開くをクリックします。
- 次へをクリックします。
- リダイレクト URI をコピーします。これらの URI は次の手順で AD FS アプリケーション グループを作成するときに必要になります。
- AD FS で OpenID Connect 構成を作成します。vCenter Server と ID プロバイダの間で証明書利用者の信頼を確立するには、両者の間で識別情報と共有シークレット キーを確立する必要があります。AD FS でこれを実行するには、サーバ アプリケーションと Web API で構成される、アプリケーション グループと呼ばれる OpenID Connect 構成を作成します。この 2 つのコンポーネントは、vCenter Server が AD FS サーバを信頼し、これと通信するために使用する情報を指定します。AD FS で OpenID Connect を有効にするには、https://kb.vmware.com/s/article/78029にある VMware のナレッジベースの記事を参照してください。AD FS アプリケーション グループを作成するときは、次の点に注意してください。
- 前の手順の 2 つのリダイレクト URI が必要です。
- 次の手順で ID プロバイダを構成するときに使用するために、次の情報をファイルにコピーするか、または書き留めます。
- クライアント識別子
- 共有シークレット キー
- AD FS サーバの OpenID アドレス
- アプリケーション グループ情報を入力し、次へをクリックします。前の手順で収集した情報を使用して以下を入力します。
- クライアント識別子
- 共有シークレット キー
- AD FS サーバの OpenID アドレス
- LDAP 経由の Active Directory 接続のユーザーおよびグループ情報を入力して、ユーザーとグループを検索します。vCenter Server は、認可と権限付与に使用する Active Directory ドメインをユーザーのベース識別名から導出します。vSphere オブジェクトに対する権限は、この Active Directory ドメインのユーザーおよびグループに対してのみ追加できます。Active Directory の子ドメインまたは Active Directory フォレスト内の他のドメインのユーザーまたはグループは、vCenter Server ID プロバイダ フェデレーションではサポートされません。オプション説明ユーザーのベース識別名ユーザーのベース識別名。グループのベース識別名グループのベース識別名。ユーザー名ユーザーおよびグループのベース DN に対して、最低限の読み取り専用アクセス権を持つドメイン内のユーザーの ID。パスワードユーザーおよびグループのベース DN に対して、最低限の読み取り専用アクセス権を持つドメイン内のユーザーの ID。プライマリ サーバの URLドメインのプライマリ ドメイン コントローラの LDAP サーバ。ldap://hostname:portの形式またはldaps://hostname:portの形式を使用します。通常のポートは、LDAP 接続では 389、LDAPS 接続では 636 です。Active Directory のマルチドメイン コントローラ デプロイの場合、通常のポートは LDAP 接続では 3268、LDAPS 接続では 3269 です。プライマリまたはセカンダリ LDAP の URL にldaps://を使用する場合は、Active Directory サーバの LDAPS エンドポイントに対する信頼を確立する証明書が必要です。セカンダリ サーバの URLフェイルオーバーに使用されるセカンダリ ドメイン コントローラの LDAP サーバのアドレス。証明書 (LDAPS 用)LDAPS を使用する場合は、参照をクリックして証明書を選択します。
- 情報を確認し、送信をクリックします。
AD FS を外部 ID プロバイダとして正常に追加したら、ユーザーとグループを に追加できます。へのユーザーやグループの追加を参照してください。