SDDC Manager ユーザー インターフェイスでの ID プロバイダとしての Okta の構成
vCenter Single Sign-On を使用する代わりに、Okta を外部 ID プロバイダとして使用するように を構成することができます。この構成では、外部 ID プロバイダが vCenter Server の代わりに ID ソースと通信します。
Okta の要件:
- Okta のユーザーであり、専用のドメイン領域がある(例:https://your-company.okta.com)。
- OIDC ログインを実行し、ユーザーとグループの権限を管理するには、次の Okta アプリケーションを作成する必要があります。
- サインオン方法として OpenID Connect を使用する Okta ネイティブ アプリケーション。このネイティブ アプリケーションには、認可コード、リフレッシュ トークン、リソース所有者パスワードの付与タイプが含まれている必要があります。
- OAuth 2.0 ベアラー トークンを使用して Okta サーバと vCenter Server 間のユーザーおよびグループの同期を実行する System for Cross-domain Identity Management (SCIM) 2.0 アプリケーション。
Okta の接続要件:
- vCenter Server は、Okta 検出エンドポイントに接続可能で、さらに検出エンドポイント メタデータにアドバタイズされている認可、トークン、JWKS、およびその他のエンドポイントに接続可能である必要があります。
- Okta も、SCIM プロビジョニング用のユーザーとグループのデータを送信するために vCenter Server に接続できる必要があります。
ネットワークの要件:
- ネットワークが公開されていない場合は、vCenter Server システムと Okta サーバの間にネットワーク トンネルを作成し、パブリックにアクセス可能な適切な URL を SCIM 2.0 ベース URI として使用します。
vSphere および NSX の要件:
- vSphere 8.0 Update 2 以降。
- NSX 4.1.2 以降。
リモート Active Directory/LDAP ユーザーまたはグループの vCenter Server グループ メンバーシップを追加した場合、vCenter Server は、新しい ID プロバイダ構成と互換性を持つようにこれらのメンバーシップを準備しようとします。この準備プロセスはサービス起動時に自動的に実行されますが、Okta の構成を続行するには完了する必要があります。
事前チェックの実行
をクリックして、続行する前にこのプロセスのステータスを確認します。 に追加できる外部 ID プロバイダは 1 つのみです。
この手順では、管理ドメイン の ID プロバイダとして Okta を構成します。VMware Identity Services 情報エンドポイントは、管理ドメイン の拡張リンク モード (ELM) グループの一部である他のすべての vCenter Server ノードにレプリケートされます。つまり、ユーザーが管理ドメイン にログインして承認されると、同じ ELM グループの一部であるすべての VI ワークロード ドメイン でもそのユーザーが承認されます。ユーザーが最初に VI ワークロード ドメイン にログインした場合も、同じことが当てはまります。
Okta 構成情報とユーザー/グループ情報は、拡張リンク モードの ノード間でレプリケートされません。 を使用して、ELM グループの一部である VI ワークロード ドメイン の ID プロバイダとして Okta を構成しないでください。
- 管理者ロールを持つユーザーとして にログインします。
- ナビゲーション ペインで、 をクリックします。
- ID プロバイダをクリックします。
- ID プロバイダの変更をクリックし、OKTAを選択します。
![Okta を示す [外部プロバイダ] メニュー。](/content/broadcom/techdocs/jp/ja/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/_jcr_content/assetversioncopies/dd54e3e5-0c1a-4098-8f50-c8de2f9159b8.original.png)
- 次へをクリックします。
- 前提条件パネルで、前提条件を確認します。
- 事前チェックの実行をクリックして、システムが ID プロバイダを変更する準備ができていることを確認します。事前チェックでエラーが検出された場合は、詳細表示をクリックしてエラーを解決する手順を実行します。
- ディレクトリ情報パネルで、次の情報を入力します。
![ID プロバイダの接続ウィザードの [ディレクトリ情報] セクション。](/content/broadcom/techdocs/jp/ja/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/_jcr_content/assetversioncopies/966734cd-ed5f-4a3d-ad7a-4f2c3dbb5132.original.png)
- ディレクトリ名:Okta からプッシュされたユーザーとグループを格納するために vCenter Server に作成するローカル ディレクトリの名前。vcenter-okta-directoryのように入力します。
- ドメイン名:vCenter Server と同期する Okta ユーザーおよびグループを含む Okta ドメイン名を入力します。Okta ドメイン名を入力したら、プラス記号アイコン (+) をクリックして追加します。複数のドメイン名を入力する場合は、デフォルトのドメインを指定します。
- 次へをクリックします。
- OpenID 接続構成パネルで、次の情報を入力します。
![ID プロバイダの接続ウィザードの [OpenID 接続構成] セクション。](/content/broadcom/techdocs/jp/ja/vmware-cis/vcf/vcf-5-2-and-earlier/5-2/_jcr_content/assetversioncopies/f306a791-3d2b-4d2a-8ce9-76329c0889d9.original.png)
- リダイレクト URI:自動的に入力されます。OpenID Connect アプリケーションの作成に使用するリダイレクト URI を Okta 管理者に提供します。
- ID プロバイダ名:「Okta」が自動的に入力されます。
- クライアント識別子:Okta に OpenID Connect アプリケーションを作成したときに取得されます(Okta では、クライアント識別子がクライアント ID と呼ばれます)。
- 共有シークレット キー:Okta で OpenID Connect アプリケーションを作成したときに取得されます(Okta では、共有シークレット キーがクライアント シークレットと呼ばれます)。
- OpenID アドレス:https://Okta ドメイン領域/oauth2/default/.well-known/openid-configurationという形式になります。たとえば、Okta ドメイン領域がexample.okta.comの場合、OpenID アドレスはhttps://example.okta.com/oauth2/default/.well-known/openid-configurationです。
- 次へをクリックします。
- 情報を確認し、終了をクリックします。