vCenter で vSphere SSO ドメインを設定する方法
vSphere インフラストラクチャ管理において、vSphere リソースに対するロールと権限を割り当てられることは重要な要素です。VMware vSphere vCenter Server 環境におけるログインと権限の管理は、いくつかの理由から極めて重要です。きめ細かな権限設定を可能にするとともに、vCenter 環境内で実行された操作の監査証跡を確保することが求められます。
ここでは、vCenter Single Sign-On および Active Directory に基づく役割や権限の割り当て、vCenter SSO の構成など、重要なポイントについて見ていきましょう。
vCenter SSO ドメインとは何ですか?
VMware vCenter Single Sign-On (SSO) は、VMware vSphere のアイデンティティ管理のための認証コンポーネントです。SSO を使用すると、ユーザーは単一のアカウントの認証情報を使用して、さまざまな vSphere コンポーネントにアクセスできます。SSO は、セキュアなトークンメカニズムを利用して、複数の vSphere コンポーネント間の通信を可能にします。
VMware vSphere 製品スイートは、SSO 認証メカニズムを通じて vCenter と統合されています。これにより、SSO を使用してスイート全体のリソースに対する権限を制御または付与することができます。なお、SSO は VMware Horizon Identity Manager に代わるものではありません。詳細については、当社の VMware Horizon と VDI 投稿。
vSphere 5.1 以降、VMware は SSO を導入し、単一のユーザー認証情報を使用して複数の ESXi ホストやその他の vSphere リソースの管理を効率化し、vSphere 認証メカニズムのセキュリティを強化しました。SSO では、Active Directory 認証だけでなく、Security Assertion Markup Language (SAML) 2.0 に基づくその他の認証ソースも利用可能です。
vCenter SSOのIDソースはドメインに関連付けることができますが、Active Directoryの代替となるものではない点に注意してください。SSOはActive Directoryと連携し、認証および関連するクエリをActive Directoryドメインコントローラーにフェデレーションできます。環境内にADドメインコントローラーがない場合でも、vCenter SSOを使用するためにActive Directoryドメインを設定する必要はありません。SSOには、認証用の内部ユーザーストアが用意されているためです。
vCenter SSO の仕組み
- ユーザーが VMware vSphere Web Client にログインします。
- SSOサーバーは、ユーザーが入力したユーザー名とパスワードを受け取ります。
- このリクエストは、SSOサーバーによって、Active Directoryやローカル認証などの適切な認証メカニズムに転送されます。
- 認証が成功すると、SSOはトークンをVMware vSphere Clientに渡します。
- このトークンを使用すると、vCenter Server やその他の VMware vSphere コンポーネントに対して直接認証を行うことができます。
vCenter Single Sign-On で使用されるサービスは以下の通りです:
- ユーザー認証
- セキュリティトークンサービス
- 証明書による認証
- SSLによる安全な通信
ユーザー認証は、vCenterに組み込まれたIDプロバイダー、または外部IDプロバイダー(IdP)を通じて行われます。組み込みプロバイダーは、Active Directory、OpenLDAP、ローカルアカウント、統合Windows認証、スマートカード、Windowsセッション認証、およびRSA SecurIDに対応しています。セキュリティトークンサービスは、ユーザーの身元を表すSAMトークンを発行します。
vCenter SSO の設定
vCenter インフラストラクチャの SSO 機能は、vCenter のインストール時に Platform Services Controller によって処理されます。Platform Services Controller は、vCenter Server Appliance (VCSA) の構成中にセットアップされます。VCSA は、vSphere にデプロイされる、ほぼ事前構成済みの VM テンプレートとして提供されます。 VCSAは、LinuxベースのPhoton OS上で動作します。Platform Services Controllerは、証明書サービス、ライセンスサービス、認証フレームワーク、およびアプライアンス管理も実行します。
vCenterバージョン6.7以前では、PSCは Embedded Platform Services Controller または External Platform Services Controller. vSphere v6.7 では、External Platform Services Controller は非推奨となりました。 vSphere 7、組み込み型 Platform Services Controller のみを使用して vCenter をインストールできます。
以下のスクリーンショットでは、ステージ 1 のステップ 1(はじめに)が確認できます。 vCenter 7 のインストール および、外部プラットフォームサービスコントローラーが使用できなくなったことを示す警告メッセージが表示されます。
vSphereのSSOドメインは、の展開中に設定されます。 vCenter Server アプライアンスvCenterのSSO設定に関する詳細は、vCenterのデプロイ時のステージ2のステップ3で確認できます(以下のスクリーンショットを参照)。SSO管理者、パスワード、SSOドメイン名、およびSSOサイト名は、インストール中に設定されます。
新しいSSOドメインを作成するか、既存のSSOドメインに参加することができます。vCenterの初回インストール時に作成するvCenter SSOドメインは、VMware vSphere仮想環境におけるデフォルトのIDソースとなります。
SSOドメインは、他の認証ドメイン(Active Directoryなど)が指定されていない場合、vSphere環境のデフォルトのIDソースとなります。前述の通り、SSOはActive DirectoryなどのIDソースとの認証を行うための(SAMLに基づく)トークン交換メカニズムを提供します。また、SSOドメイン名をADドメイン名と同じに設定すると問題が発生する可能性がある点にも留意する必要があります。多くの場合、SSOドメイン名には".local""を接尾辞として。
vCenter SSO ドメイン名:ベストプラクティス
vCenter SSO ドメイン名のベストプラクティスには、以下の使用が含まれます。 vsphere.local 小規模な環境でのドメイン名ですが、大規模な環境でも利用可能です。この vsphere.local SSOドメイン名は、vRealize Automationなどのコンポーネントを含むVMware vSphereにおける相互運用性に適しています。どのvCenter SSOドメイン名を使用すべきか分からない場合は、 vsphere.local.
vCenterでのローカル認証に使用されるSSOドメイン名は、既存のActive Directoryドメイン名と同じにしてはなりません。vCenterのインストール後にADドメインとその名前を使用する必要がある場合は、Active Directory統合機能を利用してください。vCenterのSSOドメイン名は、小文字で入力してください。
インストール後のvCenter SSO設定
VMware vCenter Server をデプロイした後、vCenter SSO の設定を編集できます。
vCenter を管理するために、既存の管理者アカウントを使用して VMware vSphere Client の Web インターフェースにログインします。例えば、 administrator@vsphere.local.
注: vCenter を管理するために、ブラウザを使用してアクセスしている場合 VMware vSphere Client Active Directory ドメインのメンバーである Windows マシンから(Windows にドメインユーザーとしてログインした後)、かつそのドメインが vCenter SSO ドメインとして構成されている場合、以下を選択できます Windows セッション認証を使用する 利便性を高めるためです。このチェックボックスがグレー表示(無効)になっている場合は、"Enhanced Authentication Plugin"をダウンロードする必要があります。以下では、既存のActive Directoryドメインを使用したvCenter SSOの設定について説明します。
Active Directory ドメインの追加
vCenter認証とActive Directoryの連携を設定し、Active DirectoryドメインをvCenterのSSOドメインとして使用することができます。ここでは、Active Directoryドメインコントローラーがすでに設定済みであることを前提としており、Windows ServerにおけるADの設定手順の詳細については割愛します。以下の点に留意してください。 Active Directoryの定期的なバックアップを作成する、特に多くのサービスが認証にADを使用している場合はなおさらです。
vCenter SSOの設定を編集し、Active Directoryと連携させるには、以下の手順を実行してください:
- Webインターフェースの左上にあるメニューアイコンをクリックします。スクロールして シングルサインオン 左ペインのセクションをクリックし、
Configuration. - [選択]
Identity Providerタブをクリックし、次に選択しますActive Directory Domain. - クリック
Join ADvCenter Single Sign-On で使用する Active Directory ドメイン(vCenter SSO ドメインとして)に参加させる。
- ドメイン名を入力し、組織単位を選択(任意)し、ADドメイン管理者の認証情報(ユーザー名とパスワード)を入力してください。
- クリック
Join変更を反映させるには、vCenterインスタンス(VCSA)を再起動してください。
IDプロバイダー
vCenter Single Sign-On ドメインに対して、別のIDソースを使用することができます。
- 移動
Administration>Single Sign On>ConfigurationVMware vSphere Client で、[クリック]Identity Sources~の中で IDプロバイダー タブ。 - 利用可能なIDソースを選択するか、クリックしてください
Add新しいものを追加するには。
以下の項目を選択できます Local accounts タブを開き、パスワードの有効期限やその他のパスワードポリシーを設定します。
ユーザーとグループの管理
vCenter SSO ドメインの設定が完了したら、ユーザーを作成し、グループに追加して、適切な権限を付与することができます。
- クリック
Users and Groups~の下で シングルサインオン vCenter管理ページの左ペインにあるセクション。 - [選択]
Usersタブ。 - デフォルト(標準)として設定できるドメインを選択してください vsphere.local ドメイン、またはvCenter Single Sign-Onドメインとして使用するために手動で追加したActive Directoryドメイン。
- クリック
Add選択したドメインに新しいユーザーを追加します。 - 必須項目を入力し、設定を保存してください。
グループ管理の利点は、グループに必要な権限を割り当て、複数のユーザーをそのグループに追加することで、自動的に権限を付与できる点にあります。
- [選択]
Groupsタブの ユーザーとグループ ページ。 - クリック
Add members.
- グループ名などの必須項目を入力し、メンバーを追加するドメインを選択してください。これは、次のような組み込みのvCenter SSOドメインでも構いません。 vsphere.local またはActive Directoryドメイン。
- 選択したドメインのメンバー(ユーザーまたはグループ)を追加し、[] をクリックします
Save.
事前定義されたユーザーおよびグループ(vCenterのクリーンインストール後に存在するもの)は削除しないでください。
まとめ
vCenter Server Applianceの仮想マシンおよびActive Directoryドメインコントローラーを実行しているマシンは、バックアップすることをお勧めします。これらのマシンは一元的な管理と認証に使用されており、障害が発生すると深刻な影響やシステム停止につながる可能性があります。
