vCenter Single Sign On
VMware vCenter シングルサインオン(SSO)は、認証ブローカーとセキュリティトークン交換インフラストラクチャであり、 VMware vSphere コンポーネントが安全なトークンメカニズムを通じて相互に通信することを可能にし、以下のサービスを使用する:
- セキュリティー・トークン・サービス (STS)
- セキュアなトラフィックのための SSL
- Active Directory™ や OpenLDAP などの ID ソースを使用したユーザーの認証
以下の vSphere SSO フローを確認してください。
- ユーザーが、vCenter または vCenter サービスにアクセスするためのユーザー名とパスワードを使用して vSphere Client にログインします。
- vSphere Client が、ログイン情報を SSO サービスに渡します。SSO サービスによって、vSphere Client の SAML トークンが検査されます。 vSphere Client に有効なトークンがある場合、SSO によって以下のように検査されます。
- ユーザー ID が
@vsphere.localの場合、ローカル SSO ドメインに照らしてユーザーを検査します。 - ユーザー ID が
@DOMAINの場合、SSO は ID ソースを使用してそのドメインを検査します。
- ユーザー ID が
- 認証が成功すると、SSO で、ユーザーを表すトークンが vSphere Client に返されます。
- vSphere Client がトークンを vCenter に渡します。
- vCenter が、SSO で、トークンが有効で有効期限が切れていないことを検査します。
- ユーザーが、ユーザーの役割の特権の対象となるオブジェクトを表示および変更できます。
vSphere SSOドメインは、最初の認証メカニズムとして使用され、インスタンスまたはリンクされた複数のインスタンスを、 IBM Cloud® for VMware Solutions インフラストラクチャドメインのADサーバーに接続する役割を果たす。 IBM Cloud for VMware Solutions vCenter Server の設計では、以下の SSO 構成が適用されます。
- SSO ドメイン
vsphere.localが、常に使用されます。 - SSO サイト名は、注文プロセス中に取り込まれた
<root_domain>と同じです。 - ID ソースである IBM Cloud for VMware Solutions インフラストラクチャドメイン
<root_domain>が設定される。 VSPHERE.LOCAL\Administratorユーザーは、管理者役割として構成されます。- 次のグループは、管理者役割で構成されます。
<root_domain>\ic4v-vCentervsphere.local\Administrators
デプロイメント後、administrator@vsphere.local ユーザーは、SSO と vCenter Server の両方に対する管理者権限を持ちます。 このユーザーは、vsphere.local ドメインで ID ソースとデフォルト・ドメインの管理、パスワード・ポリシーの指定、およびその他の管理用タスクを実行できます。 このユーザーは VMware vSphere® および VMware NSX® インフラストラクチャーの認証に不可欠ですが、AD
には含まれていません。vSphere のデプロイ時に自動的に作成されます。 このアカウントは AD の一部ではないため、AD が正しく機能しない場合に使用できます。
お客様は、必要に応じて vSphere SSO ユーザーおよびグループを管理するための全アクセス権限を持ちます。 これらのポリシーの変更に関する詳細については、 vCenter シングルサインオンのユーザーとグループの管理を参照してください。
ID ソース
ID ソースは、1 つ以上のドメインを vCenter SSO に接続するために使用されます。 ドメインは、vCenter SSO がユーザー認証に使用できるユーザーおよびグループのリポジトリーです。vCenter SSO には、vCenter Server インスタンスのデプロイメント後に構成される以下のドメインがあります。
- ローカル OS - ローカル・オペレーティング・システム・ユーザーは、vCenter Single Sign-On サーバーが稼働しているオペレーティング・システムに対してローカルです。 ローカル・オペレーティング・システム ID ソースは、基本的な vCenter SSO デプロイメントにのみ存在し、複数の vCenter SSO インスタンスを持つデプロイメントでは使用できません。 許可されるローカル・オペレーティング・システム ID ソースは 1 つのみです。 vSphere クライアントではローカルと表示される。
- vsphere.local –
administrator@vsphere.localが認証されるようにします。 - IBM Cloud for VMware Solutions インフラストラクチャー・ドメイン – このドメインは、注文プロセス中に収集されるパラメーターに基づいて AD DNS サーバー上に構成される<root_domain>です。 このプロセスにより、ユーザー
automation@<root_domain>が認証されます。
vCenter Server にログインできるユーザーは、vCenter SSO ID ソースとして追加されたドメインに属しているユーザーのみです。 必要であれば、さらにIDソースを追加して、ADまたはLDAPユーザーにアクセス権を与えることができる。
vSphere SSO 構成
以下のセクションでは、vSphere SSO で構成される設定について説明します。
トークンの信頼性
| パラメーター | 値 |
|---|---|
| Clock tolerance | 600000 ミリ秒 |
| Maximum token renewal count | 10 |
| Maximum token delegation count | 10 |
| Maximum bearer token lifetime | 300 秒 |
| Maximum holder-of-key token lifetime | 2592000 秒 |
ロックアウト・ポリシー
ロックアウト・ポリシーの詳細について詳しくは、ポリシー構成を参照してください。
パスワード・ポリシー
| パラメーター | 値 |
|---|---|
| 最大存続期間 | Password must be changed every 90 days |
| 再利用の制限 | ユーザーは過去 5 つのパスワードを再使用できません |
| 最大長 | 20 文字 |
| 最小長 | 15 文字 |
| Character requirements |
|
お客様は、企業のセキュリティー・ポリシーを適用するために、必要に応じてこれらの設定を調整するための全アクセス権限を持ちます。 これらのポリシーを変更するには 、「 vCenter シングルサインオンポリシーの管理」 を参照してください。
vSphere ESXi ホスト
各 vSphere ESXi ホストには、独自の root アカウントとパスワードがあります。 このパスワードを特定するには、以下の手順を実行する:
-
VMware Solutions コンソールで、左のナビゲーション・パネルから Resources > クラシックの VCF をクリックする。
-
テーブルで VMware Cloud Foundation for Classic テーブルで、インスタンスを見つけてクリックする。
-
インフラストラクチャタブをクリックし、必要なクラスタをクリックします。
各システム管理者が自分のアカウントでログインできるように、vSphere ESXi ホストも AD に参加します。