VMware Identity Manager の管理...VMware Identity Manager 管理コンソールの使用 1 VMware...

VMware Identity Manager の管理VMware Identity Manager 2.8

VMware Identity Manager の管理

2 VMware, Inc.

最新の技術ドキュメントは VMware の Web サイト（https://docs.vmware.com/jp/）にあります

VMware の Web サイトでは最新の製品アップデートも提供されています。

このドキュメントに関するご意見およびご感想がある場合は、[email protected]までお送りください。

Copyright © 2013 – 2016 VMware, Inc. 無断転載を禁ず。著作権および商標情報。

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

https://docs.vmware.com/jp/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

目次

『VMware Identity Manager の管理』について 7

1 VMware Identity Manager 管理コンソールの使用 9

管理コンソールでの操作 9[ID とアクセス管理] 設定の概要 10

2 エンタープライズディレクトリとの統合 13

ディレクトリ統合に関連する重要な概念 13

3 Active Directory との連携 15

Active Directory 環境 15ドメインコントローラの選択（domain_krb.properties ファイル） 17Active Directory で同期されるユーザー属性の管理 21ドメインに参加するために必要な権限 22サービスへの Active Directory 接続の構成 23Active Directory パスワードの変更をユーザーに許可する 28ディレクトリ同期のセーフガードの設定 29

4 LDAP ディレクトリとの連携 31

LDAP ディレクトリ統合の制限 31LDAP ディレクトリとサービスの統合 32

5 ローカルディレクトリの使用 37

ローカルディレクトリの作成 38ローカルディレクトリ設定の変更 42ローカルディレクトリの削除 43システム管理者ユーザーの認証方法の構成 44

6 ジャストインタイムユーザープロビジョニング 45

ジャストインタイムユーザープロビジョニングについて 45ジャストインタイムプロビジョニングの準備 46ジャストインタイムユーザープロビジョニングの構成 48SAML アサーションの要件 48ジャストインタイムユーザープロビジョニングの無効化 49ジャストインタイムディレクトリの削除 49エラーメッセージ 50

7 VMware Identity Manager でのユーザー認証の構成 53

VMware Identity Manager 用 Kerberos の構成 54VMware Identity Manager のための SecurID の構成 58VMware Identity Manager の RADIUS の構成 60

VMware, Inc. 3

VMware Identity Manager での RSA Adaptive Authentication の構成 62VMware Identity Manager で証明書またはスマートカードアダプタを使用するための構成 65二要素認証用 VMware Verify の構成 67組み込み ID プロバイダの構成 69追加の Workspace ID プロバイダの構成 71ユーザー認証のためのサードパーティ ID プロバイダインスタンスの構成 71ユーザーに適用する認証方法の管理 73

8 アクセスポリシーの管理 77

アクセスポリシー設定の構成 77Web およびデスクトップアプリケーション固有のポリシーの管理 79Web またはデスクトップアプリケーション固有のポリシーを追加する 81カスタムのアクセス拒否エラーメッセージの設定 82アクセスポリシーの編集 83モバイルデバイスでのパーシステント Cookie の有効化 83

9 ユーザーおよびグループの管理 85

ユーザーとグループのタイプ 85ユーザー名とグループ名について 86ユーザーの管理 87グループの作成とグループルールの構成 88グループルールを編集 90グループへのリソースの追加 90ローカルユーザーの作成 91パスワードの管理 93

10 カタログの管理 95

カタログでのリソースの管理 95カテゴリへのリソースのグループ化 99カタログ設定の管理 100

11 管理コンソールのダッシュボードでの作業 107

ダッシュボードからユーザーとリソース使用率を監視する 107システム情報および健全性を監視する 108レポートの表示 108

12 VMware Identity Manager サービスのカスタムブランディング 111

VMware Identity Manager でブランディングをカスタマイズする 111ユーザーポータルのブランディングのカスタマイズ 112VMware Verify アプリケーションのブランディングのカスタマイズ 113

13 AirWatch と VMware Identity Manager の統合 115

AirWatch と VMware Identity Manager との統合のセットアップ 115VMware Identity Manager での AirWatch インスタンスのセットアップ 118AirWatch 向けの統合カタログを有効にする 119AirWatch Cloud Connector での認証の実装 120AirWatch により管理された iOS デバイス向けのモバイルシングルサインオン認証の実装 122Android デバイス向けのモバイルシングルサインオン認証の実装 129


4 VMware, Inc.

AirWatch で管理されているデバイスのコンプライアンスチェックの有効化 134

インデックス 137

目次

VMware, Inc. 5


6 VMware, Inc.

『VMware Identity Manager の管理』について

『VMware Identity Manager の管理』では、VMware Identity Manager サービスの使用やメンテナンスについての情報を提供し、手順を説明します。VMware Identity Manager™ を使用すると、認証方法やアクセスポリシーの設定と管理をしたり、組織のアプリケーションに対するリソースカタログをカスタマイズしたり、管理対象ユーザーが複数のデバイスから安全にそれらのリソースにアクセスできるようにしたりすることが可能です。そのようなリソースには、Webアプリケーション、ThinApp パッケージとしてキャプチャされる Windows アプリケーション、Citrix ベースアプリケーション、View デスクトップおよびアプリケーションプールなどがあります。

対象者

本書に記載されている情報は、VMware Identity Manager を構成および管理するすべての方を対象としています。この情報は、仮想マシンテクノロジ、ID 管理、Kerberos、ディレクトリサービスに精通している、Windows または Linuxのシステム管理者向けに記述されています。VMware ThinApp®

、View、Citrix アプリケーション仮想化、認証方法（RSASecurID など）といったその他の機能の実装を計画している場合は、それらのテクノロジの知識も役立ちます。

VMware, Inc. 7


8 VMware, Inc.

VMware Identity Manager 管理コンソールの使用 1

VMware Identity Manager™ 管理コンソールを使用すると、ユーザーとグループの管理、カタログへのリソースの追加、カタログのリソースに対する使用資格の管理、AirWatch との統合の構成、および認証とアクセスポリシーのセットアップと管理を一元的に管理できます。

管理コンソールから実行する主なタスクは、ユーザー認証とアクセスポリシーを管理し、リソースの使用資格をユーザーに付与することです。その他のタスクは、この主要タスクをサポートするものであり、どのユーザーまたはグループに、

どのような条件でどのリソースの使用資格を付与するか細部にわたって制御できるようにします。

エンドユーザーは、デスクトップまたはモバイルデバイスから各自の VMware Workspace™ ONE™ ポータルにログインし、ここから作業リソースにアクセスできます。リソースには、デスクトップ、ブラウザ、社内の共有ドキュメント、

使用資格を持つさまざまなタイプのアプリケーションが含まれます。

この章では次のトピックについて説明します。

n 管理コンソールでの操作 (P. 9)

n [ID とアクセス管理] 設定の概要 (P. 10)

管理コンソールでの操作

管理コンソールのタスクは、タブで編成されています。

タブ説明

ダッシュ

ボード

ユーザーエンゲージメントダッシュボードは、ユーザーとリソース使用の監視に使用できます。ダッシュボードには、ログインしたユーザー、使用されているアプリケーションとその頻度に関する情報が表示されます。

[システム診断] ダッシュボードには、環境に導入されているサービスの健全性の詳細な概要など、サービスに関する情報が表示されます。

ユーザーとグループのアクティビティ、リソースとデバイスの使用、およびユーザー別の監査イベントを追跡するためのレ

ポートを作成できます。

ユーザーと

グループ

[ユーザーとグループ] タブでは、Active Directory または LDAP ディレクトリからインポートしたユーザーとグループを管理および監視したり、ローカルユーザーとグループを作成したり、リソースの使用資格をユーザーとグループに付与したりすることができます。ローカルユーザー用のパスワードポリシーを構成できます。

カタログ [カタログ] は、ユーザーに使用資格を付与できるすべてのリソースのリポジトリです。[カタログ] タブでは、Web アプリケーション、ThinApp パッケージ、View ポッドとアプリケーション、Horizon Air デスクトップ、Citrix ベースのアプリケーションを追加できます。新しいアプリケーションを作成し、アプリケーションをカテゴリにグループ化し、各リソース

に関する情報にアクセスできます。[カタログ設定] ページでは、SAML 証明書のダウンロード、リソース構成の管理、およびユーザーポータルの見栄えのカスタマイズを実行できます。

ID とアクセス管理

[ID とアクセス管理] タブでは、コネクタサービスのセットアップ、AirWatch との統合の構成、認証方法のセットアップ、ログインページおよび管理コンソールへのカスタムブランディングの適用を実行できます。ディレクトリ設定、ID プロバイダ、およびアクセスポリシーを管理できます。サードパーティの ID プロバイダも構成できます。

アプライア

ンス設定

[アプライアンス設定] タブでは、アプライアンスの SSL 証明書の構成、サービスの管理者およびシステムのパスワードの変更、その他のインフラストラクチャ機能の管理など、アプライアンスの構成を管理できます。また、ライセンス設定を更新

し、SMTP 設定を構成できます。

VMware, Inc. 9

管理コンソールのアクセスに使用できるサポートされる Web ブラウザVMware Identity Manager 管理コンソールは、テナントの管理に使用する Web ベースのアプリケーションです。管理コンソールには次のブラウザからアクセスできます。

n Windows システム用 Internet Explorer 11

n Windows および Mac システム用 Google Chrome 42.0 以降

n Windows および Mac システム用 Mozilla Firefox 40 以降

n Mac システム用 Safari 6.2.8 以降

注意 Internet Explorer 11 で VMware Identity Manager を通じた認証を行うには、JavaScript を有効にして Cookieを許可する必要があります。

VMware Identity Manager エンドユーザーコンポーネントユーザーは自分の Workspace ONE ポータルから、使用資格を付与されたリソースにアクセスできます。

Identity Manager Desktop から ThinApp パッケージとしてキャプチャされた仮想 Windows アプリケーションにアクセスできます。

表 1‑1. ユーザークライアントのコンポーネント

ユーザーコンポーネント説明使用可能なエンドポイント

Workspace ONE ユーザーアプリケーションポータル

アプリケーションポータルは、エージェントを使用しない Webベースのアプリケーションです。ユーザーがブラウザでアクセ

スし、資格を付与されたリソースへのアクセスに使用するデ

フォルトのインターフェイスです。

ThinApp アプリケーションにアクセスする資格があるエンドユーザーが、Identity Manager Desktop アプリケーションがインストールされているアクティブな Windows コンピュータを使用している場合、このアプリケーションポータルから、使用資格のある ThinApp パッケージを表示および起動できます。

Web ベースのアプリケーションポータルは、Windows コンピュータ、Mac コンピュータ、iOS デバイス、Android デバイスなど、すべてのサポート対象

システムのエンドポイントで使

用できます。

Identity Manager Desktop このプログラムがユーザーの Windows コンピュータにインストールされていると、ユーザーは、ThinApp パッケージとしてキャプチャされた仮想 Windows アプリケーションで作業できます。

Windows コンピュータ

[ID とアクセス管理] 設定の概要管理コンソールの [ID とアクセス管理] タブから、認証方法、アクセスポリシー、ディレクトリサービスをセットアップおよび管理し、エンドユーザーポータルおよび管理コンソールの操作性をカスタマイズできます。

次に、[ID とアクセス管理] タブのセットアップ設定について説明します。

図 1‑1. [ID とアクセス管理] の [セットアップ] ページ


10 VMware, Inc.

表 1‑2. [ID とアクセス管理] の [セットアップ] の設定

設定説明

[セットアップ] > [コネクタ] [コネクタ] ページには、企業ネットワーク内に展開されているコネクタが表示されます。コネクタは、エンタープライズディレクトリとサービス間でユーザーとグループデータを同期するために使用され、ID プロバイダとして使用される場合は、サービスに対してユーザーを認証します。コネクタインスタンスをディレクトリに関連付けるときに、コネクタは、ワーカーと呼ばれる、関連付けられたディレクトリのパーティションを作成します。コネクタインスタンスには、複数のワーカーを関連付けることができます。各ワーカーは、ID プロバイダとして動作します。ワーカーごとに認証方法を定義および構成します。

コネクタは、1 つ以上のワーカーを介してエンタープライズディレクトリとサービス間でユーザーとグループを同期します。

n [ワーカー] 列で、ワーカーを選択してコネクタの情報を表示し、[認証アダプタ] ページに移動して利用可能な認証方法のステータスを確認します。認証に関する情報については、第 7 章「VMwareIdentity Manager でのユーザー認証の構成 (P. 53)」を参照してください。

n [ID プロバイダ] 列で、表示、編集、または無効にする IdP を選択します。「ID プロバイダインスタンスを追加および構成する (P. 72)」を参照してください。

n [関連付けられたディレクトリ] 列で、このワーカーに関連付けられているディレクトリにアクセスします。

新しいコネクタを追加するには、[コネクタを追加] をクリックしてアクティベーションコードを生成します。セットアップウィザードにこのコードをペーストして、コネクタとの通信を確立します。[ドメインに参加] リンクn [ドメインに参加] リンクをクリックして、コネクタを特定の Active Directory ドメインに参加させ

ます。たとえば、Kerberos 認証を構成するときには、ユーザーを含む Active Directory ドメインか、ユーザーを含むドメインと信頼関係のある Active Directory ドメインに参加する必要があります。

n Active Directory（統合 Windows 認証）でディレクトリを構成するときには、構成の情報に従ってコネクタはドメインに参加します。

[セットアップ] > [カスタムブランディング]

[カスタムブランディング] ページで、管理コンソールヘッダーおよびログイン画面の操作性をカスタマイズできます。「VMware Identity Manager でブランディングをカスタマイズする (P. 111)」を参照してください。

エンドユーザーの Web ポータル、モバイル、およびタブレットビューをカスタマイズするには、[カタログ] > [設定] > [ユーザーポータルブランディング] の順に移動します。「ユーザーポータルのブランディングのカスタマイズ (P. 112)」を参照してください。

[セットアップ] > [ユーザー属性] [ユーザー属性] ページには、このディレクトリと同期するデフォルトのユーザー属性が表示され、他の属性を追加して、Active Directory の属性にマッピングできます。「ディレクトリと同期する属性を選択する (P. 22)」を参照してください。

[セットアップ] > [ネットワーク範囲]

このページには、追加したネットワーク範囲が表示されます。ネットワーク範囲を構成し、これらの IPアドレスを介したユーザーアクセスを許可します。ネットワーク範囲の追加や、既存の範囲の編集ができます。「ネットワーク範囲を追加または編集する (P. 73)」を参照してください。

[セットアップ] > [自動検出] VMware Identity Manager と AirWatch を統合すると、AirWatch 構成で展開した Windows 自動検出サービスを VMware Identity Manager サービスに統合することができます。AirWatch での自動検出設定の詳細については、AirWatch Web サイト (http://air-watch.com) から利用可能な AirWatchのマニュアル『VMware AirWatch Windows Autodiscovery Service Installation Guide』を参照してください。

メールドメインを登録して自動検出サービスを使用します。これにより、ユーザーは Workspace ONEを使用して簡単にアプリケーションポータルにアクセスできるようになります。エンドユーザーは、Workspace ONE を介してアプリケーションポータルにログインするときに、組織の URL の代わりにメールアドレスを入力できます。自動検出の詳細については、デバイスでの VMware Workspace ONE アプリケーションのセットアップガイドを参照してください。

第 1 章 VMware Identity Manager 管理コンソールの使用

VMware, Inc. 11

表 1‑2. [ID とアクセス管理] の [セットアップ] の設定 (続き)

設定説明

[セットアップ] > [AirWatch] このページでは、AirWatch との統合をセットアップできます。統合をセットアップして保存した後は、統合カタログを有効にして、AirWatch カタログにセットアップされたアプリケーションを統合カタログにマージできます。また、コンプライアンスチェックを有効にして、管理対象デバイスが AirWatchのコンプライアンスポリシーを遵守しているか確認できます。さらに、ユーザーパスワード認証をAirWatch Cloud Connector (ACC) を通じて有効にできます。第 13 章「AirWatch と VMwareIdentity Manager の統合 (P. 115)」を参照してください。

[セットアップ] > [設定] [設定] ページには、管理者が有効にできる機能が表示されます。次の機能が含まれます。n パーシステント Cookie は、このページで有効にできます。「パーシステント Cookie を有効

化 (P. 84)」を参照してください。n サービスでローカルユーザーが構成されている場合、ログインページのドメインオプションとし

て [ローカルユーザー] を表示するには、[ログインページに [ローカルユーザー] を表示します] を有効にします。

次に、[ID とアクセス管理] タブでサービスの管理に使用される設定について説明します。

図 1‑2. [ID とアクセス管理] の [管理] ページ

表 1‑3. [ID とアクセス管理] の [管理] の設定

設定説明

[管理] > [ディレクトリ] [ディレクトリ] ページには、作成したディレクトリが表示されます。1 つ以上のディレクトリを作成してから、エンタープライズディレクトリ環境とこれらのディレクトリを同期します。このページでは、ディレクトリと同期されたグループとユーザーの数と最後に同期された時間を表示できます。ディレク

トリの同期を開始するには、[今すぐ同期] をクリックします。第 2 章「エンタープライズディレクトリとの統合 (P. 13)」を参照してください。ディレクトリ名をクリックすると、同期設定の編集、[ID プロバイダ] ページへの移動、および同期ログの表示ができます。

ディレクトリ同期設定のページから、同期頻度をスケジュールできます。このディレクトリに関連付け

られているドメインリストの表示、マッピングされている属性のリストの変更、同期するユーザーとグ

ループのリストの更新、およびセーフガードのターゲットを設定します。

[管理] > [ID プロバイダ] [ID プロバイダ] ページには、構成した ID プロバイダが表示されます。コネクタは、初期の ID プロバイダです。サードパーティの ID プロバイダインスタンスを追加したり、両方を組み合わせて使用できます。VMware Identity Manager の組み込み ID プロバイダを認証に使用するよう構成できます。「ID プロバイダインスタンスを追加および構成する (P. 72)」を参照してください。

[管理] > [パスワード回復アシスタント]

[パスワード回復アシスタント] ページでは、エンドユーザーがログイン画面で [パスワードを忘れた場合] をクリックしたときのデフォルトの動作を変更できます。

[管理] > [ポリシー] [ポリシー] ページには、デフォルトのアクセスポリシーとユーザーが作成した他の Web アプリケーションのアクセスポリシーが表示されます。ポリシーとは一連のルールで、マイアプリポータルへのアクセスや、有効な Web アプリケーションを起動する場合に、ユーザーが満たす必要がある条件を指定します。デフォルトのポリシーを編集できます。また、Web アプリケーションをカタログに追加する場合、これらの Web アプリケーションへのアクセスを管理する新しいポリシーを追加できます。第 8 章「アクセスポリシーの管理 (P. 77)」を参照してください。


12 VMware, Inc.

エンタープライズディレクトリとの統合 2ユーザーとグループをエンタープライズディレクトリから VMware Identity Manager サービスに同期するには、VMware Identity Manager をエンタープライズディレクトリに統合します。

以下のディレクトリのタイプがサポートされます。

n LDAP 経由の Active Directory

n Active Directory、統合 Windows 認証

n LDAP ディレクトリ

エンタープライズディレクトリと統合するには、次のタスクを実行します。

n VMware Identity Manager サービスでユーザーに与える属性を指定します。

n エンタープライズディレクトリと同じ種類のディレクトリを VMware Identity Manager サービスに作成し、接続の詳細を指定します。

n Active Directory または LDAP ディレクトリで使用される属性に VMware Identity Manager 属性をマップします。

n 同期するユーザーとグループを指定します。

n ユーザーとグループを同期します。

エンタープライズディレクトリを統合し、最初の同期を実行したら、構成を更新し、定期的な同期化のスケジュールを設定するか、任意の時間に同期を開始することができます。

ディレクトリ統合に関連する重要な概念

VMware Identity Manager サービスが Active Directory または LDAP ディレクトリ環境にどのように統合するかを理解するには、いくつかの概念が不可欠です。

Connectorこのサービスのコンポーネントであるコネクタは、次の機能を実行します。

n ユーザーおよびグループデータを Active Directory または LDAP ディレクトリからサービスに同期します。

n ID プロバイダとして使用される場合、サービスに対してユーザーを認証します。

VMware, Inc. 13

コネクタは、デフォルト ID プロバイダになります。SAML 2.0 プロトコルをサポートするサードパーティ ID プロバイダを使用することもできます。認証タイプがコネクタでサポートされない場合、またはサードパーティの ID プロバイダが企業のセキュリティポリシーに適切な場合は、サードパーティ ID プロバイダを使用します。

注意サードパーティ ID プロバイダを使用する場合は、ユーザーデータおよびグループデータを同期するようコネクタを構成するか、またはジャストインタイムユーザープロビジョニングを構成できます。詳細については、『VMware Identity Manager の管理』の「ジャストインタイムユーザープロビジョニング」セクションを参照してください。

ディレクトリ

VMware Identity Manager サービスにはそれ自身のディレクトリの概念があり、これは環境の Active Directory または LDAP ディレクトリに対応しています。このディレクトリは、属性を使用してユーザーとグループを定義します。サービスで 1 つ以上のディレクトリを作成してから、これらのディレクトリを Active Directory または LDAP ディレクトリと同期します。サービスでは次のディレクトリタイプを作成できます。

n Active Directory

n LDAP 経由の Active Directory単一の Active Directory ドメイン環境に接続する場合には、このディレクトリタイプを作成します。LDAP 経由の Active Directory のディレクトリタイプでは、コネクタは単純なバインド認証を使用して Active Directory をバインドします。

n Active Directory、統合 Windows 認証マルチドメインまたはマルチフォレストの Active Directory ドメイン環境に接続する場合には、このディレクトリタイプを作成します。コネクタは、統合 Windows 認証を使用して Active Directory をバインドします。

単一ドメインかマルチドメインか、またドメイン間で使用される信頼のタイプなど、ユーザーの Active Directory環境によって、作成するディレクトリのタイプと数は異なります。通常の環境では、作成するディレクトリは 1 つです。

n LDAP ディレクトリ

サービスは Active Directory または LDAP ディレクトリに直接アクセスすることはできません。コネクタのみが直接アクセスできます。そのため、コネクタインスタンスとこのサービスで作成された各ディレクトリを関連付けます。

ワーカー

コネクタインスタンスをディレクトリに関連付けるときに、コネクタは、ワーカーと呼ばれる、関連付けられたディレクトリのパーティションを作成します。コネクタインスタンスには、複数のワーカーを関連付けることができます。各ワーカーは、ID プロバイダとして動作します。ワーカーごとに認証方法を定義および構成します。

コネクタは、1 つ以上のワーカーを介して Active Directory または LDAP ディレクトリとサービス間でユーザーとグループを同期します。

重要同じコネクタインスタンスでは、統合 Windows 認証タイプの Active Directory の 2 つのワーカーを使用することはできません。

セキュリティの考慮事項

VMware Identity Manager サービスにエンタープライズディレクトリを連携する場合、ユーザーパスワードの複雑さの要件やアカウントのロックアウトポリシーなどのセキュリティ設定は、エンタープライズディレクトリ内で直接設定する必要があります。VMware Identity Manager で、これらの設定を上書きすることはありません。


14 VMware, Inc.

Active Directory との連携 3VMware Identity Manager と Active Directory 環境を連携して、ユーザーとグループを Active Directory からVMware Identity Manager に同期することができます。

「ディレクトリ統合に関連する重要な概念 (P. 13)」も参照してください。


n Active Directory 環境 (P. 15)

n ドメインコントローラの選択（domain_krb.properties ファイル） (P. 17)

n Active Directory で同期されるユーザー属性の管理 (P. 21)

n ドメインに参加するために必要な権限 (P. 22)

n サービスへの Active Directory 接続の構成 (P. 23)

n Active Directory パスワードの変更をユーザーに許可する (P. 28)

n ディレクトリ同期のセーフガードの設定 (P. 29)

Active Directory 環境このサービスは、単一の Active Directory ドメイン、単一の Active Directory フォレスト内の複数のドメイン、または複数の Active Directory フォレストにわたる複数のドメインを持つ Active Directory 環境と連携できます。

単一の Active Directory ドメイン環境単一の Active Directory 環境では、単一の Active Directory ドメインからユーザーとグループを同期できます。

この環境で、サービスにディレクトリを追加するときには、[LDAP 経由の Active Directory] オプションを選択します。

詳細については、次を参照してください。

n 「ドメインコントローラの選択（domain_krb.properties ファイル） (P. 17)」

n 「Active Directory で同期されるユーザー属性の管理 (P. 21)」

n 「ドメインに参加するために必要な権限 (P. 22)」

n 「サービスへの Active Directory 接続の構成 (P. 23)」

マルチドメイン、シングルフォレストの Active Directory 環境マルチドメイン、シングルフォレストの Active Directory 環境では、シングルフォレスト内の複数の Active Directoryドメインからユーザーとグループを同期できます。

VMware, Inc. 15

単一の Active Directory、統合 Windows 認証のディレクトリタイプとして、また、グローバルカタログオプションで構成された [LDAP 経由の Active Directory] ディレクトリタイプとして、この Active Directory 環境にサービスを構成できます。

n 推奨されるオプションは、単一の Active Directory、統合 Windows 認証のディレクトリタイプです。

この環境にディレクトリを追加する場合、[Active Directory（統合 Windows 認証）] オプションを選択します。






n 統合 Windows 認証がユーザーの Active Directory 環境で動作しない場合、LDAP 経由の Active Directory を作成して、グローバルカタログオプションを選択します。

グローバルカタログオプションを選択するときには、次のようないくつかの制約があります。

n グローバルカタログに複製される Active Directory のオブジェクト属性は、Active Directory スキーマで部分的な属性セット (PAS) として識別されます。これらの属性のみが、サービスによる属性マッピングで利用できます。必要な場合には、スキーマを編集して、グローバルカタログに保存されている属性を追加または削除します。

n グローバルカタログには、ユニバーサルグループのグループメンバーシップ（メンバー属性）のみが保存されます。ユニバーサルグループのみがサービスと同期されます。必要な場合、グループの範囲を、ローカルドメインまたはグローバルからユニバーサルへと変更できます。

n サービスでディレクトリを構成するときに定義したバインド DN アカウントには、Token-Groups-Global-And-Universal (TGGAU) 属性の読み取り権限が必要です。

Active Directory は、標準の LDAP クエリにポート 389 と 636 を使用します。グローバルカタログクエリには、ポート 3268 および 3269 が使用されます。

グローバルカタログ環境でディレクトリを追加するときには、構成時に次の項目を指定します。

n [LDAP 経由の Active Directory] オプションを選択します。

n [このディレクトリは DNS サービスロケーションをサポートします] オプションのチェックボックスを選択解除します。

n [このディレクトリには、グローバルカタログがあります] オプションを選択します。このオプションを選択すると、サーバのポート番号が 3268 に自動的に変更されます。また、グローバルカタログオプションを構成するときにベース DN は不要であるため、[ベース DN] テキストボックスは表示されません。

n Active Directory サーバのホスト名を追加します。

n Active Directory に SSL 経由でアクセスする必要がある場合、[このディレクトリには SSL を使用するすべての接続が必要です] オプションを選択して、表示されるテキストボックスに証明書をペーストします。このオプションを選択すると、サーバのポート番号が 3269 に自動的に変更されます。

信頼関係があるマルチフォレスト Active Directory 環境信頼関係があるマルチフォレスト Active Directory 環境では、ドメイン間で双方向に信頼するフォレスト全体で複数のActive Directory ドメインのユーザーとグループを同期できます。

この環境にディレクトリを追加する場合、[Active Directory（統合 Windows 認証）] オプションを選択します。





16 VMware, Inc.



信頼関係がないマルチフォレスト Active Directory 環境信頼関係がないマルチフォレスト Active Directory 環境では、ドメイン間に信頼関係がないフォレスト全体で複数のActive Directory ドメインのユーザーとグループを同期できます。この環境では、各フォレストに対して 1 つディレクトリを作成し、サービス内で複数のディレクトリを作成します。

サービスで作成するディレクトリのタイプは、フォレストによって変わります。複数のドメインがあるフォレストの場合、

[Active Directory（統合 Windows 認証）] オプションを選択します。単一ドメインのフォレストでは、[LDAP 経由のActive Directory] オプションを選択します。






ドメインコントローラの選択（domain_krb.properties ファイル）domain_krb.properties ファイルは、DNS サービスロケーション（SRV レコード）ルックアップが有効なディレクトリに対し、どのドメインコントローラを使用するかを決定します。このファイルには、各ドメインのドメインコントローラのリストが含まれます。ファイルは最初にコネクタによって作成されますが、その後はユーザーが管理する必要が

あります。このファイルの設定は、DNS サービスロケーション (SRV) ルックアップより優先します。

次のタイプのディレクトリは、DNS サービスロケーションルックアップが有効になっています。

n LDAP 経由の Active Directory で、[このディレクトリは DNS サービスロケーションをサポートします] オプションが選択されている場合に有効です。

n Active Directory（統合 Windows 認証）では、DNS サービスロケーションルックアップは常に有効です。

DNS サービスロケーションルックアップが有効なディレクトリを作成すると、まず仮想マシンの /usr/local/horizon/conf ディレクトリに domain_krb.properties ファイルが自動的に作成され、各ドメインのドメインコントローラがファイルに自動的に記載されます。ファイルに記載するため、コネクタは、コネクタと同じサイトにあるドメインコントローラを探し、アクセス可能で応答が最も速いドメインコントローラを 2 つ選択します。

DNS サービスロケーションルックアップを有効にしたディレクトリを作成したり、新しいドメインを統合 Windows 認証ディレクトリへ追加すると、新しいドメインおよびそのドメインのドメインコントローラのリストがファイルに追加されます。

domain_krb.properties ファイルを編集することにより、デフォルトの設定をいつでも変更できます。ベストプラクティスとして、ディレクトリを作成したら domain_krb.properties ファイルを表示し、リストに含まれるドメインコントローラが構成に最適であることを確認してください。グローバルな Active Directory 展開環境で、地理的に分散する複数のドメインコントローラを使用する場合は、Active Directory との高速通信を確保するため、コネクタに物理的に近い場所にあるドメインコントローラを使用します。

その他の変更を行う場合も、このファイルを手動で更新する必要があります。次のルールが適用されます。

n domain_krb.properties ファイルは、コネクタを含む仮想マシン内で作成されます。追加のコネクタが展開されていない一般的な環境では、VMware Identity Manager サービスの仮想マシンにファイルが作成されます。ディレクトリに追加のコネクタを使用している場合は、コネクタの仮想マシンにファイルが作成されます。1 台の仮想マシンが保持できる domain_krb.properties ファイルは 1 つのみです。

n DNS サービスロケーションルックアップが有効なディレクトリを作成すると、まずファイルが作成され、各ドメインのドメインコントローラがファイルに自動で記載されます。

第 3 章 Active Directory との連携

VMware, Inc. 17

n 各ドメインのドメインコントローラは、優先度が高い順に記載されます。Active Directory への接続を試行する際に、コネクタはリストの一番最初に記載されているドメインコントローラを使用します。このドメインコントローラにアクセスできない場合は、リストで 2 番目に表示されているドメインコントローラから順に使用していきます。

n DNS サービスロケーションルックアップが有効になっている新しいディレクトリを作成するとき、またはドメインを統合 Windows 認証ディレクトリに追加するときにのみ、ファイルが更新されます。新しいドメイン、およびそのドメインのドメインコントローラのリストがファイルに追加されます。

ファイルにドメインのエントリがすでに存在する場合は、更新されません。たとえば、ディレクトリを作成し、その

後に削除した場合、元のドメインエントリがファイルに残り、更新されません。

n その他の状況で、ファイルの自動更新が行われることはありません。たとえば、ユーザーがディレクトリを削除した

場合でも、ドメインエントリはファイルから削除されません。

n ファイル内に記載のドメインコントローラのいずれかにアクセスできない場合は、ファイルを編集して削除します。

n ドメインエントリを手動で追加または編集した場合、その変更内容が上書きされることはありません。

domain_krb.properties ファイルの編集については、「domain_krb.properties ファイルの編集 (P. 19)」を参照してください。

重要 /etc/krb5.conf ファイルの内容は domain_krb.properties ファイルと一貫している必要があります。domain_krb.properties ファイルを更新するときは、必ず krb5.conf ファイルも更新するようにします。詳細については「domain_krb.properties ファイルの編集 (P. 19)」およびナレッジベースの記事 KB2091744 を参照してください。

domain_krb.properties ファイルへの自動入力に使用されるドメインコントローラの選択方法

domain_krb.properties ファイルに自動入力するため、コネクタがドメインコントローラを選択する際は、最初にIP アドレスとネットマスクに基づいて、コネクタが存在するサブネットを検出します。次に、Active Directory 構成を使用してサブネットのサイトを特定し、サイトのドメインコントローラのリストを取得します。さらに、リストのフィルタリングによって適切なドメインを絞り込み、その中から最も高速に応答するドメインコントローラを 2 つ選び出します。

最も近い場所にあるドメインコントローラを検出するための、VMware Identity Manager の要件は次のとおりです。

n コネクタのサブネットが Active Directory 構成内に存在するか、またはサブネットが runtime-config.properties ファイルに指定されている必要があります。「デフォルトで選択されたサブネットのオーバーライド (P. 19)」を参照してください。

サブネットはサイトを判断するために使用されます。

n Active Directory 構成がサイトを認識する必要があります。

サブネットを検出できない場合、または Active Directory 構成がサイトを認識しない場合、DNS サービスロケーションルックアップを使用してドメインコントローラを検出し、アクセス可能なドメインコントローラがファイルに入力されます。これらのドメインコントローラとコネクタが地理的に離れている場合があることに注意してください。このようなときは、Active Directory への通信で遅延やタイムアウトが発生することがあります。その場合には、domain_krb.properties ファイルを手動で編集して、各ドメインに適切なドメインコントローラを指定します。「domain_krb.properties ファイルの編集 (P. 19)」を参照してください。

domain_krb.properties ファイルのサンプルexample.com=host1.example.com:389,host2.example.com:389


18 VMware, Inc.

https://kb.vmware.com/kb/2091744

デフォルトで選択されたサブネットのオーバーライド

domain_krb.properties ファイルを自動入力するため、コネクタは同一サイトのドメインコントローラを検出しようと試みます。このため、コネクタと Active Directory の間にわずかな遅延が生じます。

コネクタはサイトを検出するため、IP アドレスとネットマスクに基づいてコネクタが存在するサブネットを検出します。次に、Active Directory 構成を使用して、そのサブネットのサイトを特定します。仮想マシンのサブネットが ActiveDirectory に含まれていない場合、または自動選択されたサブネットをオーバーライドしたい場合は、runtime-config.properties ファイルにサブネットを指定します。

手順

1 VMware Identity Manager 仮想マシンに root ユーザーとしてログインします。

注意ディレクトリに追加のコネクタを使用している場合は、コネクタの仮想マシンにログインします。

2 /usr/local/horizon/conf/runtime-config.properties ファイルを編集して、次の属性を追加します。

siteaware.subnet.override=<subnet>

<Subnet> は、使用したいドメインコントローラを含むサイトのサブネットです。例：

siteaware.subnet.override=10.100.0.0/20

3 ファイルを保存して閉じます。

4 サービスを再起動します。

service horizon-workspace restart

domain_krb.properties ファイルの編集/usr/local/horizon/conf/domain_krb.properties ファイルは、DNS サービスロケーションルックアップが有効になっているディレクトリに使用するドメインコントローラを決定します。いつでもファイルを編集して、任意のドメインのドメインコントローラリストの変更や、ドメインエントリの追加または削除ができます。ユーザーが加えた変更はオーバーライドされません。

このファイルは、最初にコネクタにより作成され、自動入力されます。次のようないくつかのシナリオでは、手動でファ

イルを更新する必要があります。

n デフォルトで選択されたドメインコントローラが構成に最適でない場合は、ファイルを編集して、使用するドメインコントローラを指定します。

n ディレクトリを削除する場合は、対応するドメインエントリをファイルから削除します。

n ファイルに含まれるいずれかのドメインコントローラにアクセスできない場合は、ファイルから削除します。

「ドメインコントローラの選択（domain_krb.properties ファイル） (P. 17)」も参照してください。

手順

1 VMware Identity Manager 仮想マシンに root ユーザーとしてログインします。

注意ディレクトリに追加のコネクタを使用している場合は、コネクタの仮想マシンにログインします。

2 ディレクトリを /usr/local/horizon/conf に変更します。


VMware, Inc. 19

3 domain_krb.properties ファイルを編集して、ホスト値にドメインのリストを追加または編集します。

次の形式を使用します。

<domain>=<host>:<port>,<host2>:<port>,<host3>:<port>

例：

example.com=examplehost1.example.com:389,examplehost2.example.com:389

リスト内のドメインコントローラを優先度順に並べます。Active Directory への接続を試行する際に、コネクタはリストの一番最初に記載されているドメインコントローラを使用します。このドメインコントローラにアクセスできない場合は、リストで 2 番目に表示されているドメインコントローラから順に使用していきます。

重要ドメイン名は小文字にする必要があります。

4 次のコマンドを使用して、domain_krb.properties ファイルの所有者を horizon に変更し、グループを wwwに変更します。

chown horizon:www /usr/local/horizon/conf/domain_krb.properties

5 サービスを再起動します。


次に進む前に

domain_krb.properties ファイルを編集してから /etc/krb5.conf ファイルを編集します。krb5.conf ファイルの内容は domain_krb.properties ファイルと一貫している必要があります。

1 /etc/krb5.conf ファイルを編集し、realms セクションのドメインとホストの情報を指定する値に、/usr/local/horizon/conf/domain_krb.properties ファイルで使用されているものと同じ値を指定します。ポート番号を指定する必要はありません。たとえば、domain_krb.properties ファイルにexample.com=examplehost.example.com:389 のドメインエントリがある場合、krb5.conf ファイルを次のように更新します。

[realms]GAUTO-QA.COM = {auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-QA\.COM/GAUTO2QA/auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/auth_to_local = DEFAULT kdc = examplehost.example.com}

注意 kdc エントリは、複数入力することができます。ただし、ほとんどの場合、kdc の値は 1 つだけであるため、これは必須ではありません。追加の kdc の値を定義する場合は、ドメインコントローラを定義する kdc のエントリを 1 行につき 1 つ指定します。

2 Workspace サービスを再起動します。


ナレッジベースの記事 KB2091744 も参照してください。


20 VMware, Inc.

https://kb.vmware.com/kb/2091744

domain_krb.properties のトラブルシューティングdomain_krb.properties ファイルのトラブルシューティングでは、次の情報を使用します。

「ドメイン解決エラー」の問題

domain_krb.properties ファイルにドメインのエントリがすでに含まれているときに、同じドメインに異なるタイプの新しいディレクトリを作成しようとすると、「ドメイン解決エラー」が発生します。新しいディレクトリを作成する前

に、domain_krb.properties ファイルを編集して、ドメインエントリを手動で削除する必要があります。

ドメインコントローラにアクセスできない問題

ドメインエントリが domain_krb.properties ファイルに追加されると、自動的に更新されなくなります。ファイルに表示されるいずれかのドメインコントローラにアクセスできなくなった場合は、手動でファイルを編集して削除します。

Active Directory で同期されるユーザー属性の管理VMware Identity Manager サービスディレクトリのセットアップ時に、VMware Identity Manager ディレクトリと同期するユーザーを選択するために Active Directory のユーザー属性とフィルタを選択します。管理コンソールの [ID とアクセス管理] タブから [セットアップ] > [ユーザー属性] にアクセスして、同期するユーザー属性を変更できます。

[ユーザー属性] ページで実行および保存された変更は、VMware Identity Manager ディレクトリの [マップされた属性]ページに追加されます。属性の変更は、Active Directory を次回同期するときに、ディレクトリで更新されます

[ユーザー属性] ページには、Active Directory 属性にマッピングできるデフォルトのディレクトリ属性が表示されます。必須の属性を選択します。ディレクトリと同期するその他の属性を追加することができます。属性を追加するときに入力

する属性名では、大文字と小文字が区別されます。たとえば、address、Address、および ADDRESS は個別の属性です。

表 3‑1. ディレクトリと同期するデフォルトの Active Directory 属性

VMware Identity Manager ディレクトリの属性名 Active Directory 属性とのデフォルトのマッピング

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeId employeeID

domain canonicalName。オブジェクトの完全修飾ドメイン名を追加します。

disabled (external user disabled) userAccountControl。UF_Account_Disable でフラグが設定されます

アカウントが無効になると、ユーザーはログインしてアプリケーション

とリソースにアクセスすることができません。ユーザーに使用資格が付

与されているリソースはアカウントから削除されないため、フラグがア

カウントから削除されても、ユーザーはログインして使用資格が付与さ

れているリソースにアクセスすることができます。

phone telephoneNumber

lastName sn

firstName givenName

email mail

userName sAMAccountName.


VMware, Inc. 21

ディレクトリと同期する属性を選択する

Active Directory と同期するように VMware Identity Manager ディレクトリをセットアップするときに、ディレクトリと同期するユーザー属性を指定します。ディレクトリをセットアップする前に、[ユーザー属性] ページで、必要となるデフォルト属性を指定し、Active Directory 属性にマッピングするその他の属性を追加できます。

ディレクトリが作成される前に [ユーザー属性] ページを構成するときに、必須にするデフォルト属性を変更したり、属性を必須としてマークしたり、カスタム属性を追加することができます。

ディレクトリが作成された後は、必須属性の変更や、カスタム属性の削除ができます。ある属性を必須属性に変更するこ

とはできません。

ディレクトリと同期する別の属性を追加するときには、ディレクトリが作成された後に、ディレクトリの [マップングされた属性] ページに移動して、これらの属性を Active Directory の属性にマッピングします。

重要 XenApp リソースと VMware Identity Manager の同期を計画している場合は、[distinguishedName] を必須属性にする必要があります。これは、VMware Identity Manager ディレクトリを作成する前に指定する必要があります。

手順

1 管理コンソールの [ID とアクセス管理] タブで、[管理] - [ユーザー属性] を選択します。

2 [デフォルト属性] セクションで、必須属性のリストを確認して、必須にする必要がある属性が反映されるように必要な変更を加えます。

3 [属性] セクションで、VMware Identity Manager ディレクトリの属性名をリストに追加します。

4 [保存] をクリックします。

デフォルト属性のステータスが更新され、追加した属性が、ディレクトリの [マップングされた属性] リストに追加されます。

5 ディレクトリが作成された後に、[管理] - [ディレクトリ] ページに移動して、ディレクトリを選択します。

6 [同期設定] - [マップングされた属性]をクリックします。

7 追加した属性のドロップダウンメニューで、マッピング先の Active Directory 属性を選択します。


ディレクトリは、Active Directory と次回同期されるときに更新されます。

ドメインに参加するために必要な権限

状況に応じて、VMware Identity Manager コネクタをドメインに参加させる必要があります。LDAP ディレクトリ経由の Active Directory については、ディレクトリを作成した後でドメインを参加させることができます。Active Directory（統合 Windows 認証）タイプのディレクトリについては、ディレクトリを作成すると自動的にコネクタがドメインに参加します。いずれの場合も、証明書の入力を求められます。

コネクタをドメインに参加させるには、Active Directory の「AD ドメインにコンピュータを参加させる」権限を含む証明書が必要です。これは、次の権限を使用して Active Directory に構成されます。

n コンピュータオブジェクトの作成

n コンピュータオブジェクトの削除

ドメインに参加すると、独自の OU を指定しない限り、Active Directory のデフォルトの場所にコンピュータオブジェクトが作成されます。


22 VMware, Inc.

ドメインに参加する権限がない場合は、これらのの手順に従ってドメインに参加します。

1 Active Directory 内で企業ポリシーで指定された場所にコンピュータオブジェクトを作成するよう、Active Directoryの管理者に依頼します。コネクタのホスト名を指定します。必ず完全修飾ドメイン名（例：server.example.com）

を指定してください。

ヒントホスト名は、管理コンソールの [コネクタ] ページで [ホスト名] 列に表示されます。[コネクタ] ページを表示するには、[ID とアクセス管理] - [セットアップ] - [コネクタ] をクリックします。

2 コンピュータオブジェクトが作成されたら、VMware Identity Manager 管理コンソールで任意のドメインユーザーアカウントを使用してドメインに参加させます。

[コネクタ] ページでは [ドメインに参加] コマンドを使用できます。このページにアクセスするには、[ID とアクセス管理]- [セットアップ] - [コネクタ] をクリックします。

オプション説明

[ドメイン] 参加する Active Directory ドメインを選択または入力します。必ず完全修飾ドメイン名を入力します。たとえば、

[server.example.com] のように指定します。

[ドメインユーザー] Active Directory ドメインにシステムを参加させる権限を持つActive Directory ユーザーの名前。

[ドメインパスワード] ユーザーのパスワード。

[組織単位 (OU)] （オプション）コンピュータオブジェクトの組織単位 (OU)。このオプションによって、デフォルトのコンピュータの OU ではなく、指定された OU にコンピュータオブジェクトが作成されます。例、[ou=testou,dc=test,dc=example,dc=com]。

サービスへの Active Directory 接続の構成管理コンソールで、Active Directory に接続するのに必要な情報を指定し、VMware Identity Manager ディレクトリと同期するユーザーおよびグループを選択します。

Active Directory では、LDAP 経由の Active Directory または Active Directory（統合 Windows 認証）の接続オプションを使用できます。LDAP 経由の Active Directory 接続では、DNS サービスロケーションルックアップがサポートされます。Active Directory（統合 Windows 認証）で、参加するドメインを構成します。

開始する前に

n [ユーザー属性] ページで、必須の属性を選択し、必要に応じてその他の属性を追加します。「ディレクトリと同期する属性を選択する (P. 22)」を参照してください。

重要 XenApp リソースと VMware Identity Manager の同期を計画している場合は、[distinguishedName] を必須属性にする必要があります。この選択は、ディレクトリを作成する前に行う必要があります。ディレクトリ作成

後は属性を必須属性に変更できません。

n Active Directory から同期する Active Directory のグループとユーザーのリスト。

n LDAP 経由の Active Directory の場合、ベース DN、バインド DN、およびバインド DN パスワードなどの情報が必要となります。

注意有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。

n Active Directory（統合 Windows 認証）では、ドメインのバインドユーザー UPN アドレスとパスワードなどの情報が必要となります。



VMware, Inc. 23

n Active Directory が SSL または STARTTLS 経由のアクセスを必要とする場合は、Active Directory ドメインコントローラのルート CA 証明書が必要となります。

n Active Directory（統合 Windows 認証）では、マルチフォレスト Active Directory を構成しており、ドメインローカルグループに異なるフォレストのドメインのメンバーが含まれる場合、バインドユーザーをドメインローカルグループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメインローカルグループに含まれません。

手順

1 管理コンソールで、[ID とアクセス管理] タブをクリックします。

2 [ディレクトリ] ページで、[ディレクトリの追加] をクリックします。

3 この VMware Identity Manager ディレクトリの名前を入力します。


24 VMware, Inc.

4 環境内の Active Directory のタイプを選択して、接続情報を構成します。


LDAP 経由の Active Directory a [コネクタの同期] フィールドで、Active Directory との同期に使用するコネクタを選択します。

b この Active Directory をユーザー認証に使用する場合は、[認証] フィールドで、[はい] をクリックします。

ユーザー認証にサードパーティの ID プロバイダが使用されている場合、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

c [ディレクトリ検索属性] フィールドで、ユーザー名を含むアカウント属性を選択します。

d Active Directory が DNS サービスロケーションルックアップを使用する場合は、次のように選択します。

n [サービスロケーション] セクションで、[このディレクトリは DNS サービスロケーションをサポートします] チェックボックスを選択します。

ディレクトリの作成時に、ドメインコントローラのリストが自動入力されるdomain_krb.properties ファイルが作成されます。「ドメインコントローラの選択（domain_krb.properties ファイル） (P. 17)」を参照してください。

n Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です]チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。

証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「ENDCERTIFICATE」の行を含んでいることを確認します。注意 Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。

e Active Directory が DNS サービスロケーションルックアップを使用しない場合は、次のように選択します。

n [サービスロケーション] セクションで、[このディレクトリは DNS サービスロケーションをサポートします] チェックボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。

グローバルカタログとしてディレクトリを構成するには、「Active Directory環境 (P. 15)」の「マルチドメイン、シングルフォレストの Active Directory環境」セクションを参照してください。

n Active Directory が SSL 経由のアクセスを必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。

証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「ENDCERTIFICATE」の行を含んでいることを確認します。注意 Active Directory が SSL を必要とする場合、証明書がなければディレクトリを作成できません。

f [ベース DN] フィールドに、アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。

g [バインド DN] フィールドに、ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。


h バインドパスワードを入力したら、[接続をテスト] をクリックして、ディレクトリが Active Directory に接続できることを確認します。

Active Directory（統合 Windows 認証） a [コネクタの同期] フィールドで、Active Directory との同期に使用するコネクタを選択します。


VMware, Inc. 25


b この Active Directory をユーザー認証に使用する場合は、[認証] フィールドで、[はい] をクリックします。

ユーザー認証にサードパーティの ID プロバイダが使用されている場合、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

c [ディレクトリ検索属性] フィールドで、ユーザー名を含むアカウント属性を選択します。

d Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには STARTTLS を使用するすべての接続が必要] チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL証明書] フィールドにペーストします。

証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

ディレクトリに複数のドメインが含まれる場合は、ルート CA 証明書をすべてのドメインに 1 つずつ追加していきます。注意 Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。

e 参加する Active Directory ドメインの名前を入力します。ドメインへの参加権限を持つユーザーの名前とパスワードを入力します。詳細については、「ドメイ

ンに参加するために必要な権限 (P. 22)」を参照してください。f [バインドユーザー UPN] フィールドで、ドメインで認証できるユーザーの [ユー

ザープリンシパル名] を入力します。たとえば、[email protected] のように入力します。


g バインドユーザーのパスワードを入力します。

5 [保存して次へ] をクリックします。

ドメインリストのページが表示されます。

6 LDAP 経由の Active Directory では、ドメインにチェックマークが付けられて表示されます。

[Active Directory（統合 Windows 認証）] で、この Active Directory 接続に関連付ける必要があるドメインを選択します。

注意ディレクトリが作成された後に信頼するドメインを追加する場合、サービスは新規に追加されたドメインを自動的に検出しません。サービスによるドメインの検出を有効にするには、コネクタをドメインから切り離してから、

ドメインに再度参加させる必要があります。コネクタがドメインに再度参加すると、信頼するドメインがリストに表

示されます。

[次へ] をクリックします。

7 VMware Identity Manager ディレクトリの属性名が正しい Active Directory 属性にマッピングされていることを確認し、必要に応じて変更して、[次へ] をクリックします。


26 VMware, Inc.

8 Active Directory から VMware Identity Manager ディレクトリに同期するグループを選択します。


グループ DN を指定グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。

a [+] をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。重要入力したベース DN の配下にあるグループ DN を指定します。グループDN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。

b [グループの検索] をクリックします。

[同期するグループ] 列には、DN に含まれるグループの数が表示されます。c DN に含まれるすべてのグループを選択する場合は [すべてを選択] をクリックし

ます。グループを個別に選択する場合は [選択] をクリックし、同期対象となる特定のグループを選択します。

注意グループを同期する際、Active Directory のプライマリグループである DomainUsers に属していないユーザーの同期は行われません。

ネストされたグループメンバーを同期 [ネストされたグループメンバーを同期] オプションは、デフォルトで有効になっています。このオプションが有効になっているときは、選択したグループに直接属するす

べてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期

されます。ネストされたグループ自体は同期されないことに注意してください。同期

されるのは、ネストされたグループに属するユーザーのみです。

VMware Identity Manager ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。

[ネストされたグループメンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されま

す。その下のネストされたグループに属するユーザーは同期されません。グループツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory構成では、このオプションを無効にすると、時間を短縮できます。このオプションを

無効にする場合は、同期するユーザーが属するグループをすべて選択するようにして

ください。

9 [次へ] をクリックします。

10 必要に応じて、同期するユーザーを追加で指定します。

a [+] をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。

重要入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。

b （オプション）ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。

フィルタリングの基準となるユーザー属性、クエリルールおよび値を選択します。


12 ページを確認して、ディレクトリに同期するユーザーとグループの数や、同期スケジュールを確認します。

ユーザーとグループや、同期の頻度に変更を加えるには、[編集] リンクをクリックします。

13 [ディレクトリを同期] をクリックして、ディレクトリとの同期を開始します。

Active Directory への接続が確立され、ユーザーとグループは Active Directory から VMware Identity Manager ディレクトリに同期されます。バインド DN ユーザーは、デフォルトで VMware Identity Manager の管理者ロールを持っています。


VMware, Inc. 27

次に進む前に

n DNS サービスロケーションをサポートするディレクトリを作成した場合は、domain_krb.properties ファイルが作成され、ドメインコントローラのリストがこのファイルに自動的に入力されています。ファイルを表示して、ドメインコントローラのリストの確認や編集を行います。「ドメインコントローラの選択（domain_krb.propertiesファイル） (P. 17)」を参照してください。

n 認証方法をセットアップします。コネクタを認証にも使用している場合、ユーザーとグループがディレクトリに同期

された後で、追加のコネクタ認証をセットアップできます。サードパーティの認証 ID プロバイダを使用している場合は、コネクタでその ID プロバイダを構成します。

n デフォルトのアクセスポリシーを確認します。デフォルトのアクセスポリシーでは、すべてのネットワーク範囲にあるすべてのアプライアンスに対し、Web ブラウザへのアクセスには 8 時間のセッションタイムアウト、クライアントアプリケーションへのアクセスには 2,160 時間（90日間）のセッションタイムアウトが設定されています。デフォルトのアクセスポリシーは変更できます。また、Web アプリケーションをカタログに追加するときに、新しいアクセスポリシーを作成することができます。

n 管理コンソール、ユーザーポータルページおよびログイン画面にカスタムブランディングを適用します。

Active Directory パスワードの変更をユーザーに許可するWorkspace ONE ポータルまたはアプリケーションから、いつでも Active Directory のパスワードを変更することをユーザに許可できます。パスワードの有効期限が切れた場合、または Active Directory 管理者がパスワードをリセットし、次回のログインでパスワードの変更をユーザーに要求する場合、ユーザーは VMware Identity Manager ログインページから Active Directory パスワードをリセットすることもできます。

[ディレクトリの設定] ページの [パスワードの変更を許可] オプションを選択することによって、このオプションをディレクトリ単位で有効にします。

ユーザーは、右上隅にある名前をクリックし、ドロップダウンメニューから [アカウント] を選択し、[パスワードの変更]リンクをクリックして、Workspace ONE ポータルにログインするときのパスワードを変更できます。Workspace ONEアプリケーションでは、3 つの棒のメニューアイコンをクリックし、[パスワード] を選択して、パスワードを変更できます。

有効期限が切れたパスワードまたは管理者によってリセットされた Active Directory のパスワードは、ログインページから変更できます。ユーザーが有効期限の切れたパスワードを使用してログインしようとすると、パスワードをリセット

するように要求されます。ユーザーは新しいパスワードと古いパスワードの両方を入力する必要があります。

新しいパスワードの要件は、Active Directory パスワードポリシーによって決定されます。また、許可されるパスワード入力の試行回数も、Active Directory パスワードポリシーによって決定されます。

以下の制約が適用されます。

n 別の外部のコネクタ仮想アプライアンスを使用する場合、[パスワードの変更を許可] オプションは、コネクタバージョン 2016.11.1 以降でのみ使用できます。

n ディレクトリを VMware Identity Manager にグローバルカタログとして追加した場合、[パスワードの変更を許可] オプションは利用できません。ディレクトリは、LDAP 経由の Active Directory または統合 Windows 認証として、ポート 389 または 636 を使用して追加できます。

n バインド DN ユーザーのパスワードは、有効期限が切れた場合、または Active Directory 管理者がリセットした場合でも、VMware Identity Manager からリセットすることはできません。


n ログイン名がマルチバイト文字（非 ASCII 文字）から成るユーザーのパスワードは、VMware Identity Manager からリセットすることができません。

開始する前に

n [パスワードの変更を許可] オプションを有効にするには、バインド DN ユーザーアカウントを使用し、ActiveDirectory の書き込み権限を持っている必要があります。


28 VMware, Inc.

n ポート 464 がドメインコントローラ上で開いている必要があります。

手順


2 [ディレクトリ] タブで、ディレクトリをクリックします。

3 [パスワードの変更を許可] セクションで、[パスワードの変更を有効にする] チェックボックスを選択します。

4 [バインドユーザーの詳細] セクションにバインド DN パスワードを入力し、[保存] をクリックします。

ディレクトリ同期のセーフガードの設定

ディレクトリ内に同期のセーフガードしきい値の制限を構成すると、Active Directory からディレクトリに同期するユーザーとグループへの意図されない構成の変更を防止する上で役立ちます。

同期のセーフガードのしきい値を設定することにより、ディレクトリの同期でユーザーとグループに加えられる変更の数

が制限されます。ディレクトリのセーフガードしきい値に達すると、ディレクトリの同期は停止し、ディレクトリの [同期ログ] ページにメッセージが表示されます。VMware Identity Manager 管理コンソールで SMTP を構成すると、セーフガード違反によって同期に失敗したときに電子メールメッセージを受け取ります。

同期が失敗する場合、ディレクトリの [同期設定] > [同期ログ] ページに移動してセーフガード違反の種類についての説明を表示できます。

同期を正常に完了するには、[同期のセーフガード] 設定ページでセーフガードのしきい値のパーセンテージを増やすか、同期のドライランをスケジュール設定して [セーフガードを無視] を選択できます。セーフガードのしきい値を無視することを選択すると、セーフガードの値はこの同期セッションに限り適用されなくなります。

ディレクトリ同期を初めて実行する場合、同期のセーフガード値は適用されません。

注意同期のセーフガード機能を使わない場合、ドロップダウンメニューから値を削除します。同期のセーフガードのしきい値のテキストボックスが空白の場合、セーフガードの同期は無効になります。

ディレクトリ同期のセーフガードを構成する

同期のセーフガードのしきい値設定を構成することにより、ディレクトリの同期でユーザーとグループに加えられる変更

の数が制限されます。

注意同期のセーフガード機能を使わない場合、ドロップダウンメニューから値を削除します。同期のセーフガードのしきい値のテキストボックスが空白の場合、セーフガードの同期は無効になります。

手順

1 セーフガード設定を変更するには、[ID とアクセス管理] タブで [管理] - [ディレクトリ] を選択します。

2 セーフガードを設定するディレクトリを選択して、[同期設定] をクリックします。

3 [セーフガード] をクリックします。

4 同期が失敗するトリガーの変更割合 (%) を設定します。


セーフガードの設定を無視してディレクトリへの同期を完了

セーフガード違反が原因で同期化が完了しなかったという通知を受け取った場合、セーフガードの設定を無視して同期化

を完了するには、同期化のドライランをスケジュール設定して [セーフガードを無視] を選択します。

手順

1 [ID とアクセス管理] タブで、[管理] - [ディレクトリ] を選択します。


VMware, Inc. 29

2 同期化が完了しなかったディレクトリを選択し、[同期ログ] ページに移動します。

3 セーフガード違反の種類を表示するには、[同期の詳細] 列で [同期に失敗しました。セーフガードを確認してください] をクリックします。

4 [OK] をクリックします。

5 セーフガードの設定を変更せずに同期を継続するには、[今すぐ同期] をクリックします。

6 [レビュー] ページで、[セーフガードを無視] チェックボックスを選択します。

7 [ディレクトリ同期] をクリックします。

ディレクトリ同期が実行され、この同期化セッションに限定してセーフガードしきい値の設定が無視されます。


30 VMware, Inc.

LDAP ディレクトリとの連携 4エンタープライズ LDAP ディレクトリと VMware Identity Manager を連携して、ユーザーとグループを LDAP ディレクトリから VMware Identity Manager サービスに同期することができます。

「ディレクトリ統合に関連する重要な概念 (P. 13)」も参照してください。


n LDAP ディレクトリ統合の制限 (P. 31)

n LDAP ディレクトリとサービスの統合 (P. 32)

LDAP ディレクトリ統合の制限LDAP ディレクトリの統合機能には現在次の制限が適用されます。

n 単一ドメインの LDAP ディレクトリ環境のみを統合することができます。

LDAP ディレクトリから複数のドメインを統合するには、ドメインごとに追加の VMware Identity Manager ディレクトリを 1 つずつ作成する必要があります。

n VMware Identity Manager ディレクトリのタイプが LDAP ディレクトリの場合、次の認証方法はサポートされません。

n Kerberos 認証

n RSA Adaptive Authentication

n サードパーティ ID プロバイダとしての ADFS

n SecurID

n Vasco および SMS パスコードサーバによる Radius 認証

n LDAP ドメインに参加することはできません。

n VMware Identity Manager ディレクトリのタイプが LDAP ディレクトリの場合、View または Citrix 公開リソースとの統合はサポートされません。

n ユーザー名にスペースを含めることはできません。ユーザー名にスペースが含まれていると、ユーザーは同期されま

すが、資格を利用できません。

n Active Directory と LDAP ディレクトリの両方を追加する計画の場合は、必須のマークを付けることができるuserName を除いて、[ユーザー属性] ページで属性には必須のマークが付いていないことを確認してください。[ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されます。属性に必須のマークが付いている場合は、その属性を持たないユーザーは VMware Identity Manager サービスに同期されません。

n LDAP ディレクトリに同じ名前のグループが複数ある場合は、VMware Identity Manager サービスでグループに一意の名前を指定する必要があります。同期するグループを選択するときに名前を指定することができます。

VMware, Inc. 31

n ユーザーが有効期限の切れたパスワードをリセットするオプションは利用できません。

n domain_krb.properties ファイルはサポートされません。

LDAP ディレクトリとサービスの統合エンタープライズ LDAP ディレクトリと VMware Identity Manager を連携して、ユーザーとグループを LDAP ディレクトリから VMware Identity Manager サービスに同期することができます。

LDAP ディレクトリを統合するには、対応する VMware Identity Manager ディレクトリを作成し、ユーザーとグループを LDAP ディレクトリから VMware Identity Manager ディレクトリに同期します。後続の更新のために定期的な同期スケジュールを設定することができます。

また、ユーザーのために同期させる LDAP 属性を選択し、VMware Identity Manager 属性にマップします。

LDAP ディレクトリ構成はデフォルトのスキーマをベースにすることができますが、カスタムのスキーマを作成することもできます。また、カスタムの属性を定義することもできます。VMware Identity Manager で、LDAP ディレクトリを検索してユーザーまたはグループオブジェクトを取得できるようにするには、LDAP ディレクトリに適用可能な LDAP検索フィルタおよび属性名を指定する必要があります。

具体的には、次の情報を指定する必要があります。

n グループ、ユーザーおよびバインドユーザーを取得するための LDAP 検索フィルタ

n グループメンバーシップ、UUID および識別名のための LDAP 属性名

LDAP ディレクトリの統合機能には特定の制限が適用されます。「LDAP ディレクトリ統合の制限 (P. 31)」を参照してください。

開始する前に

n 別の外部のコネクタ仮想アプライアンスを使用する場合、LDAP ディレクトリを統合する機能は、コネクタバージョン 2016.6.1 以降でのみ使用できます。

n [ID とアクセス管理] - [セットアップ] - [ユーザー属性] ページの属性を確認し、同期する属性を追加します。これらの VMware Identity Manager 属性は、後で LDAP ディレクトリを作成するときに、LDAP ディレクトリ属性にマッピングします。これらの属性はディレクトリ内のユーザーに対して同期されます。

注意ユーザー属性を変更する場合は、サービスの他のディレクトリに対する影響を考慮してください。ActiveDirectory と LDAP ディレクトリの両方を追加する計画の場合は、必須のマークを付けることができる [userName]を除いて、属性には必須のマークが付いていないことを確認してください。[ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されます。属性に必須のマークが付いている場合は、その属性を持たないユーザーは

VMware Identity Manager サービスに同期されません。

n バインド DN ユーザーアカウント。有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。

n LDAP ディレクトリでは、ユーザーとグループの UUID はプレーンテキスト形式である必要があります。

n LDAP ディレクトリには、すべてのユーザーおよびグループに対するドメイン属性が存在する必要があります。

VMware Identity Manager ディレクトリを作成するときは、この属性を VMware Identity Manager の [domain]属性にマップします。

n ユーザー名にスペースを含めることはできません。ユーザー名にスペースが含まれていると、ユーザーは同期されま

すが、資格を利用できません。

n 証明書認証を使用する場合、ユーザーは userPrincipalName とメールアドレス属性の値を持っている必要があります。

手順



32 VMware, Inc.

2 [ディレクトリ] ページで、[ディレクトリを追加] をクリックして [LDAP ディレクトリを追加] を選択します。

3 [LDAP ディレクトリを追加] ページに必要な情報を入力します。


ディレクトリ名 VMware Identity Manager ディレクトリの名前。

ディレクトリの同期と認証 a [コネクタを同期] フィールドで、LDAP ディレクトリからVMware Identity Manager ディレクトリにユーザーとグループを同期するためのコネクタを選択します。

コネクタコンポーネントは、デフォルトでは VMware Identity Manager サービスで常に利用できます。このコネクタは、ドロップダウンリストに表示されます。高可用性を実現するために複数の VMware Identity Manager アプライアンスを展開すると、それぞれのコネクタコンポーネントがリストに表示されます。

LDAP ディレクトリ用の個別のコネクタは必要ありません。コネクタは、ActiveDirectory であるか LDAP ディレクトリであるかにかかわらず複数のディレクトリをサポートすることができます。

追加のコネクタが必要なシナリオについては、『VMware Identity Manager インストールガイド』の「追加コネクタアプライアンスのインストール」を参照してください。

b この LDAP ディレクトリを使用してユーザー認証を行う場合は、[認証] フィールドで [はい] を選択します。

サードパーティの ID プロバイダを使用してユーザーを認証する場合は、[いいえ] を選択します。ユーザーとグループを同期するようにディレクトリ接続を追加したら、[ID とアクセス管理] - [管理] - [ID プロバイダ] ページの順に移動して、認証に使用するサードパーティの ID プロバイダを追加します。

c [ディレクトリ検索属性] フィールドで、ユーザー名に使用する LDAP ディレクトリ属性を指定します。属性が表示されない場合は、[カスタム] を選択して、属性名を入力します。たとえば、cn にように入力します。

サーバの場所 LDAP ディレクトリサーバのホスト名とポート番号を入力します。サーバホストには、完全修飾ドメイン名または IP アドレスのいずれかを指定することができます。たとえば、myLDAPserver.example.com または 100.00.00.0 のように入力します。

ロードバランサの背後にサーバのクラスタがある場合は、代わりにロードバランサの情報を入力します。

LDAP 構成 VMware Identity Manager が LDAP ディレクトリのクエリに使用することができる LDAP 検索フィルタおよび属性を指定します。デフォルト値はコア LDAP スキーマに基づいて提供されます。

[LDAP クエリ]n [グループの取得]：グループオブジェクトを取得するための検索フィルタ。

例：(objectClass=group)n [バインドユーザーの取得]：バインドユーザーオブジェクト、つまりディレク

トリにバインドすることができるユーザーを取得するための検索フィルタ。

例：(objectClass=person)n [ユーザーの取得]：同期するユーザーを取得するための検索フィルタ。

例：(&(objectClass=user)(objectCategory=person))

[属性]n [メンバーシップ]：グループのメンバーを定義するために LDAP ディレクトリで

使用される属性。

例：membern [オブジェクト UUID]：ユーザーまたはグループの UUID を定義するために LDAP

ディレクトリで使用される属性。

例：entryUUIDn [識別名]：LDAP ディレクトリでユーザーまたはグループの識別名に使用される

属性。

例：entryDN

第 4 章 LDAP ディレクトリとの連携

VMware, Inc. 33


証明書 LDAP ディレクトリが SSL 経由のアクセスを必要とする場合は、[このディレクトリには SSL を使用するすべての接続が必要です] を選択し、LDAP ディレクトリサーバのルート CA SSL 証明書をコピーして貼り付けます。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

バインドユーザーの詳細 [ベース DN]：検索を開始する DN を入力します。たとえば、cn=users,dc=example,dc=com のように入力します。[バインド DN]：LDAP ディレクトリにバインドするために使用するユーザー名を入力します。


[バインド DN パスワード]：バインド DN ユーザーのパスワードを入力します。

4 LDAP ディレクトリサーバへの接続をテストするには、[接続をテスト] をクリックします。

接続に成功しない場合は、入力した情報を確認して、適切な変更を行います。

5 [保存して次へ] をクリックします。

6 [ドメイン] ページで、正しいドメインがリストされることを確認し、[次へ] をクリックします。

7 [属性をマップ] ページで、VMware Identity Manager 属性が正しい LDAP 属性にマップされていることを確認します。

重要 [domain] 属性のマッピングを指定する必要があります

属性は [ユーザー属性] ページからリストに追加することができます。


9 グループのページで、[+] をクリックして、LDAP ディレクトリから VMware Identity Manager ディレクトリに同期するグループを選択します。

LDAP ディレクトリに同じ名前のグループが複数ある場合は、グループページ内でグループに一意の名前を指定する必要があります。

[ネストされたグループユーザーの同期] オプションは、デフォルトで有効になっています。このオプションが有効になっているときは、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するす

べてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるの

は、ネストされたグループに属するユーザーのみです。VMware Identity Manager ディレクトリでは、これらのユーザーは同期対象として選択したトップレベルのグループのメンバーとして表示されます。実際には、選択された

グループの階層がフラット化され、すべてのレベルのユーザーが選択されたグループのメンバーとして VMwareIdentity Manager に表示されます。

このオプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユー

ザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループツリーのスキャンに多くのリソースが消費され時間がかかる大規模なディレクトリ構成では、このオプションを無効にすると、時間

を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するように

してください。


11 [+] をクリックして、別のユーザーを追加します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com と入力します。

ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。フィルタリングの基準となる

ユーザー属性、クエリルールおよび値を選択します。

[次へ] をクリックします。


34 VMware, Inc.

12 ディレクトリに同期するユーザーとグループの数や、デフォルトの同期スケジュールをページで確認します。

ユーザーとグループや、同期の頻度に変更を加えるには、[編集] リンクをクリックします。

13 [ディレクトリを同期] をクリックして、ディレクトリ同期を開始します。

LDAP ディレクトリへの接続が確立され、ユーザーとグループは LDAP ディレクトリから VMware Identity Managerディレクトリに同期されます。バインド DN ユーザーは、デフォルトで VMware Identity Manager の管理者ロールを持っています。

第 4 章 LDAP ディレクトリとの連携

VMware, Inc. 35


36 VMware, Inc.

ローカルディレクトリの使用 5ローカルディレクトリは、VMware Identity Manager サービスで作成できるディレクトリタイプの 1 つです。ローカルディレクトリでは、サービスでローカルユーザーをプロビジョニングしたり、エンタープライズディレクトリにユーザーを追加することなく、特定のアプリケーションに対するアクセス権限をローカルユーザーに付与したりできます。ローカルディレクトリは、エンタープライズディレクトリには接続していないため、ユーザーおよびグループはエンタープライズディレクトリと同期されません。その代わりに、ローカルディレクトリにローカルユーザーを直接作成します。

サービスでは、システムディレクトリというデフォルトのローカルディレクトリを利用できます。また、複数の新しいローカルディレクトリを作成できます。

システムディレクトリシステムディレクトリは、サービスを最初にセットアップするときにサービスで自動的に作成されるローカルディレクトリです。このディレクトリには、システムドメインというドメインが関連付けられます。システムディレクトリの名前やドメインを変更したり、新しいドメインをシステムディレクトリに追加することはできません。また、システムディレクトリやシステムドメインを削除することもできません。

VMware Identity Manager アプライアンスを最初にセットアップするときに作成されたローカル管理者ユーザーは、システムディレクトリのシステムドメインで作成されます。

システムディレクトリに別のユーザーを追加できます。通常、システムディレクトリは、サービスを管理する数名のローカル管理者ユーザーを設定するために使用されます。エンドユーザーと追加の管理者をプロビジョニングし、アプリケーションに対する資格を付与するには、新しいローカルディレクトリを作成することをお勧めします。

ローカルディレクトリ複数のローカルディレクトリを作成できます。各ローカルディレクトリには、1 つ以上のドメインを関連付けることができます。ローカルユーザーを作成するときに、そのユーザーのディレクトリとドメインを指定します。

また、ローカルディレクトリ内のすべてのユーザーの属性を選択できます。userName、lastName、および firstNameなどのユーザー属性は、VMware Identity Manager サービスにおいてグローバルレベルで指定されます。属性のデフォルトのリストが利用可能であり、独自の属性を追加できます。グローバルユーザー属性は、ローカルディレクトリを含むサービスにあるすべてのディレクトリに適用されます。ローカルディレクトリレベルでは、ディレクトリで必須にする属性を選択できます。これにより、異なるローカルディレクトリに独自の属性セットを関連付けることができます。userName、lastName、firstName、および email は、ローカルディレクトリでは常に必須です。

注意ディレクトリレベルでユーザー属性をカスタマイズする機能は、Active Directory または LDAP ディレクトリでは使用できず、ローカルディレクトリでのみ使用できます。

ローカルディレクトリを作成すると、次のようなシナリオで役立ちます。

n エンタープライズディレクトリに含まれない特定の種類のユーザーに対してローカルディレクトリを作成できます。たとえば、通常、パートナーはエンタープライズディレクトリに含まれませんが、パートナー向けにローカルディレクトリを作成し、必要な特定のアプリケーションだけに対してアクセス権を付与できます。

VMware, Inc. 37

n 異なるユーザーセットに対して、異なるユーザー属性または認証方法を使用する場合は、複数のローカルディレクトリを作成できます。たとえば、あるローカルディレクトリを地域や市場規模などのユーザー属性を持つディストリビュータ向けに作成し、別のローカルディレクトリを製品カテゴリやサプライヤの種類などのユーザー属性を持つサプライヤ向けに作成することができます。

システムディレクトリとローカルディレクトリの ID プロバイダデフォルトでは、システムディレクトリは、システム ID プロバイダという名前の ID プロバイダに関連付けられています。パスワード（クラウドディレクトリ）による認証方法は、この ID プロバイダでデフォルトで有効にされ、すべての範囲の (ALL RANGES) のネットワークと Web ブラウザデバイスタイプの default_access_policy_set ポリシーに適用されます。別の認証方法を構成して、認証ポリシーを設定できます。

新しいローカルディレクトリを作成するときに、ID プロバイダはそのディレクトリに関連付けられません。ディレクトリを作成した後、タイプが組み込みの新しい ID プロバイダを作成し、ディレクトリと関連付けます。ID プロバイダでパスワード（クラウドディレクトリ）による認証方法を有効にします。複数のローカルディレクトリを同一の ID プロバイダと関連付けることができます。

システムディレクトリまたは作成したローカルディレクトリのいずれにも VMware Identity Manager コネクタは必要ありません。

詳細については、『VMware Identity Manager 管理ガイド』の「VMware Identity Manager でのユーザー認証の構成」を参照してください。

ローカルディレクトリユーザーのパスワード管理デフォルトでは、ローカルディレクトリのすべてのユーザーが、Workspace ONE ポータルまたはアプリケーションでパスワードを変更できます。ローカルユーザーのパスワードポリシーを設定できます。また、必要に応じてローカルユーザーのパスワードをリセットできます。

ユーザーは、右上隅にある名前をクリックし、ドロップダウンメニューから [アカウント] を選択し、[パスワードの変更]リンクをクリックして、Workspace ONE ポータルにログインするときのパスワードを変更できます。Workspace ONEアプリケーションでは、3 つの棒のメニューアイコンをクリックし、[パスワード] を選択して、パスワードを変更できます。

パスワードポリシーの設定およびローカルユーザーパスワードのリセットについては、『VMware Identity Manager 管理ガイド』の「ユーザーおよびグループの管理」を参照してください。


n ローカルディレクトリの作成 (P. 38)

n ローカルディレクトリ設定の変更 (P. 42)

n ローカルディレクトリの削除 (P. 43)

n システム管理者ユーザーの認証方法の構成 (P. 44)

ローカルディレクトリの作成ローカルディレクトリを作成するには、ディレクトリ用のユーザー属性を指定し、ディレクトリを作成して、ID プロバイダで特定します。


38 VMware, Inc.

グローバルレベルでのユーザー属性の設定ローカルディレクトリを作成する前に、[ユーザー属性] ページでグローバルユーザー属性を確認し、必要に応じてカスタム属性を追加します。

firstName、lastName、email、domain などのユーザー属性はユーザープロファイルに含まれます。VMware Identity Manager サービスでは、ユーザー属性はグローバルレベルで定義され、ローカルディレクトリを含む、サービスのすべてのディレクトリに適用されます。ローカルディレクトリレベルでは、そのローカルディレクトリのユーザーに対して属性が必須か任意かの指定を上書きできますが、カスタム属性を追加することはできません。属性が

必須である場合、ユーザーを作成する際にその属性に値を設定する必要があります。

カスタム属性を作成するときは、次の語句は使用できません。

表 5‑1. カスタム属性の名前に使用できない語句

active addresses costCenter

department displayName division

emails employeeNumber entitlements

externalId groups id

ims locale manager

meta name nickName

organization password phoneNumber

photos preferredLanguage profileUrl

roles timezone title

userName userType x509Certificate

注意ディレクトリレベルでユーザー属性をオーバーライドする機能は、Active Directory または LDAP ディレクトリには適用されず、ローカルディレクトリにのみ適用できます。

手順


2 [セットアップ] をクリックし、[ユーザー属性] タブをクリックします。

3 ユーザー属性のリストを確認し、必要に応じて属性を追加します。

注意このページでは必須にする属性を選択できますが、ローカルディレクトリに対する設定はローカルディレクトリレベルで行うことをお勧めします。このページで属性を必須に指定すると、Active Directory や LDAP ディレクトリを含む、サービスのすべてのディレクトリに適用されます。


次に進む前に

ローカルディレクトリを作成します。

ローカルディレクトリの作成グローバルユーザー属性を確認および設定したら、ローカルディレクトリを作成します。

手順

1 管理コンソールで、[ID とアクセス管理] タブをクリックしてから、[ディレクトリ] タブをクリックします。

第 5 章ローカルディレクトリの使用

VMware, Inc. 39

2 [ディレクトリを追加] をクリックし、ドロップダウンメニューから [ローカルユーザーディレクトリを追加] を選択します。

3 [ディレクトリを追加] ページでディレクトリ名を入力し、少なくとも 1 つのドメイン名を指定します。

ドメイン名は、サービスのすべてのディレクトリにおいて一意である必要があります。

例：


5 [ディレクトリ] ページで、新しいディレクトリをクリックします。


40 VMware, Inc.

6 [ユーザー属性] タブをクリックします。

[ID とアクセス管理] > [セットアップ] > [ユーザー属性] ページのすべての属性が、ローカルディレクトリに表示されます。そのページで必須とマークされている属性は、ローカルディレクトリページでも必須として表示されます。

7 ローカルディレクトリの属性をカスタマイズします。

必須およびオプションの属性を指定できます。また、属性の表示順序を変更できます。

重要 userName、firstName、lastName、および email の各属性は、ローカルディレクトリでは常に必須です。

n 属性を必須にするには、属性名の横にあるチェックボックスを選択します。

n 属性をオプションにするには、属性名の横にあるチェックボックスを選択解除します。

n 属性の順序を変更するには、属性をクリックして新しい位置にドラッグします。

属性が必須である場合、ユーザーを作成するときに、その属性の値を指定する必要があります。

例：


次に進む前に

ローカルディレクトリを任意の ID プロバイダに関連付けて、ディレクトリ内のユーザーの認証に使用できます。

ローカルディレクトリと ID プロバイダの関連付けローカルディレクトリを ID プロバイダと関連付け、そのディレクトリのユーザーを認証できるようにします。タイプが組み込みの新しい ID プロバイダを作成し、そこでパスワード（ローカルディレクトリ）による認証方法を有効にします。

注意組み込みの ID プロバイダを使用しないでください。組み込みの ID プロバイダでパスワード（ローカルディレクトリ）による認証方法を有効にすることはお勧めしません。

手順

1 [ID とアクセス管理] タブで、[ID プロバイダ] タブをクリックします。

2 [ID プロバイダを追加] をクリックして、[組み込み IDP を作成] を選択します。


VMware, Inc. 41

3 以下の情報を入力します。


ID プロバイダ名 ID プロバイダの名前を入力します。

ユーザー作成したローカルディレクトリを選択します。

ネットワークこの ID プロバイダにアクセス可能なネットワークを選択します。

認証方法パスワード（ローカルディレクトリ）を選択します。

KDC 証明書のエクスポート AirWatch により管理される iOS デバイスに対しモバイル SSO を構成していない限り、証明書をダウンロードする必要はありません。

4 [追加] をクリックします。

ID プロバイダが作成され、ローカルディレクトリと関連付けられます。後で ID プロバイダでその他の認証方法を構成できます。認証の詳細については、『VMware Identity Manager の管理』の「VMware Identity Manager でのユーザー認証の構成」を参照してください。

同一の ID プロバイダを複数のローカルディレクトリに使用できます。

次に進む前に

ローカルユーザーとローカルグループを作成します。管理コンソールの [ユーザーとグループ] タブで、ローカルユーザーとローカルグループを作成します。詳細については、『VMware Identity Manager 管理ガイド』の「ユーザーおよびグループの管理」を参照してください。

ローカルディレクトリ設定の変更ローカルディレクトリの作成後は、いつでも設定を変更できます。

次の設定を変更できます。

n ディレクトリ名を変更します。

n ドメインの追加、削除、または名前の変更を行います。

n ドメイン名は、サービスのすべてのディレクトリにおいて一意である必要があります。

n ドメイン名を変更すると、古いドメインに関連付けられていたユーザーは新しいドメインに関連付けられます。


42 VMware, Inc.

n ディレクトリには少なくとも 1 つのドメインを含める必要があります。

n システムディレクトリにドメインを追加したり、システムドメインを削除したりすることはできません。

n 新しいユーザー属性を追加したり、既存の属性に必須や任意の指定を行ったりします。

n ローカルディレクトリにまだユーザーが作成されていない場合は、新しい属性を任意または必須として設定したり、既存の属性の設定を任意または必須に変更したりできます。

n ローカルディレクトリにすでにユーザーが作成されている場合は、新しい属性は任意指定の属性としてのみ追加できます。また、既存の属性は必須から任意に変更できます。ユーザーの作成後に、任意指定の属性を必須に

変更することはできません。

n userName、firstName、lastName、および email の各属性は、ローカルディレクトリでは常に必須です。

n VMware Identity Manager サービスではユーザー属性がグローバルレベルで定義されているため、新しい属性を追加すると、サービスのすべてのディレクトリに表示されます。

n 属性の表示順序を変更します。

手順

1 [ID とアクセス管理] タブをクリックします。

2 [ディレクトリ] ページで、編集するディレクトリをクリックします。

3 ローカルディレクトリの設定を編集します。

オプション操作

ディレクトリ名を変更する a [設定] タブで、ディレクトリ名を変更します。b [保存] をクリックします。

ドメインの追加、削除、または名前の変更を

行う

a [設定] タブで、[ドメイン] リストを編集します。b ドメインを追加するには、緑色のプラスアイコンをクリックします。c ドメインを削除するには、赤色の削除アイコンをクリックします。

d ドメインの名前を変更するには、テキストボックスでドメイン名を編集します。

ディレクトリにユーザー属性を追加する a [ID とアクセス管理] タブをクリックし、続いて [セットアップ] をクリックします。b [ユーザー属性] タブをクリックします。c [使用するその他の属性を追加] リストに属性を追加し、[保存] をクリックします。

ディレクトリで属性を必須または任意に設定

する

a [ID とアクセス管理] タブで、[ディレクトリ] タブをクリックします。b ローカルディレクトリ名をクリックし、[ユーザー属性] タブをクリックします。c 属性の隣のチェックボックスを選択すると属性が必須になり、チェックボック

スを選択解除すると属性が任意になります。

d [保存] をクリックします。

属性の順序を変更する a [ID とアクセス管理] タブで、[ディレクトリ] タブをクリックします。b ローカルディレクトリ名をクリックし、[ユーザー属性] タブをクリックします。c 属性をクリックして新しい位置にドラッグします。

d [保存] をクリックします。

ローカルディレクトリの削除VMware Identity Manager サービスで作成したローカルディレクトリを、削除できます。サービスの初回セットアップ時にデフォルトで作成された、システムディレクトリを削除することはできません。

注意ディレクトリを削除すると、ディレクトリ内のすべてのユーザーもシステムから削除されます。

手順

1 [ID とアクセス管理] タブをクリックしてから、[ディレクトリ] タブをクリックします。


VMware, Inc. 43

2 削除するディレクトリをクリックします。

3 [ディレクトリ] ページで、[ディレクトリの削除] をクリックします。

システム管理者ユーザーの認証方法の構成

管理者ユーザーがシステムディレクトリからログインするときのデフォルトの認証方法は、パスワード（ローカルディレクトリ）です。管理者が VMware Identity Manager 管理コンソールおよび Workspace ONE ポータルにログインできるように、パスワード（ローカルディレクトリ）をフォールバック方法として、デフォルトのアクセスポリシーが構成されています。

システム管理者に使用資格が付与されている特定の Web アプリケーションおよびデスクトップアプリケーションのアクセスポリシーを作成する場合、フォールバック認証方法としてパスワード（ローカルディレクトリ）を含めるようにこれらのポリシーを構成する必要があります。そうしないと、管理者はアプリケーションにログインできません。


44 VMware, Inc.

ジャストインタイムユーザープロビジョニング 6

ジャストインタイムユーザープロビジョニングでは、サードパーティ ID プロバイダによって送信された SAML アサーションを使用して、VMware Identity Manager サービスでログイン時に動的にユーザーを作成できます。ジャストインタイムユーザープロビジョニングは、サードパーティ ID プロバイダのみ利用可能です。VMware Identity Manager コネクタでは利用できません。


n ジャストインタイムユーザープロビジョニングについて (P. 45)

n ジャストインタイムプロビジョニングの準備 (P. 46)

n ジャストインタイムユーザープロビジョニングの構成 (P. 48)

n SAML アサーションの要件 (P. 48)

n ジャストインタイムユーザープロビジョニングの無効化 (P. 49)

n ジャストインタイムディレクトリの削除 (P. 49)

n エラーメッセージ (P. 50)

ジャストインタイムユーザープロビジョニングについてジャストインタイムプロビジョニングは、VMware Identity Manager サービスでユーザーをプロビジョニングする方法の 1 つです。ジャストインタイムプロビジョニングを使用すると、Active Directory インスタンスとユーザーと同期する代わりに、ID プロバイダによって送信される SAML アサーションを基準として、ユーザーのログイン時にユーザーを動的に作成および更新できます。

このシナリオでは、VMware Identity Manager は SAML サービスプロバイダ (SP) として動作します。

ジャストインタイム構成は、サードパーティ ID プロバイダに対してのみ構成できます。コネクタでは利用できません。

ジャストインタイム構成では、すべてのユーザーの作成と管理は SAML アサーションを通じて処理され、認証はサードパーティ ID プロバイダによって処理されるため、オンプレミスにコネクタをインストールする必要はありません。

ユーザーの作成と管理

ジャストインタイムのユーザープロビジョニングを有効にすると、ユーザーが VMware Identity Manager サービスのログインページに移動してドメインを選択するときに、適切な ID プロバイダにリダイレクトされます。ユーザーがログインすると、SAML アサーションを使用して ID プロバイダによって認証され、VMware Identity Manager サービスにリダイレクトされます。Identity Manager サービスでユーザーを作成するため、SAML アサーションの属性が使用されます。このうち、Identity Manager サービスで定義されたユーザー属性に一致する属性だけが使用され、一致しないその他の属性は無視されます。ユーザーは、属性を基準とするグループに追加され、これらのグループに設定されている資

格を受け取ります。

VMware, Inc. 45

次のログイン時に SAML アサーションが変更されている場合には、このユーザーは Identity Manager サービスで更新されます。

ジャストインタイムプロビジョニングで作成されたユーザーは、削除できません。ユーザーを削除するには、ジャストインタイムディレクトリを削除する必要があります。

すべてのユーザー管理は、SAML アサーションを通じて処理されることに注意してください。Identity Manager から直接これらのユーザーを作成したり更新したりすることはできません。ジャストインタイムユーザーは、Active Directoryと同期できません。

SAML アサーションで必要な属性の情報については、「SAML アサーションの要件 (P. 48)」を参照してください。

ジャストインタイムディレクトリサードパーティ ID プロバイダは、Identity Manager サービスでジャストインタイムディレクトリを関連付ける必要があります。

ID プロバイダでジャストインタイムプロビジョニングを最初に有効にするときに、ジャストインタイムディレクトリを作成して、このディレクトリのドメインを 1 つ以上指定します。これらのドメインに属するユーザーが、ディレクトリにプロビジョニングされます。ディレクトリに複数のドメインが構成されている場合、SAML アサーションにドメイン属性が含まれている必要があります。ディレクトリに対して 1 つのドメインが構成されている場合、SAML アサーションにドメイン属性は指定されている必要はありませんが、指定されている場合には、その値がドメイン名と一致する必要があり

ます。

ジャストインタイムプロビジョニングが有効な ID プロバイダに関連付けることができるジャストインタイムのタイプのディレクトリは 1 つのみです。

ジャストインタイムプロビジョニングの準備ジャストインタイムプロビジョニングを構成する前に、グループ、グループ資格、およびユーザー属性設定を確認し、必要に応じて変更します。また、ジャストインタイムディレクトリに使用するドメインを特定します。

ローカルグループの作成ジャストインタイムプロビジョニングを介してプロビジョニングされたユーザーは、ユーザー属性を基準としてグループに追加され、ユーザーが属するグループからリソースの利用資格が決定されます。ジャストインタイムプロビジョニングを構成する前に、サービスにローカルグループがあることを確認します。必要に応じて、1 つ以上のローカルグループを作成します。各グループについて、グループメンバーシップのルールを設定し、資格を追加します。

手順

1 管理コンソールで、[ユーザーとグループ] タブをクリックします。

2 [グループを作成] をクリックして、グループの名前と説明を入力して、[追加] をクリックします。

3 [グループ] ページで、新しいグループをクリックします。

4 グループのユーザーをセットアップします。

a 左側のペインで、[このグループのユーザー] を選択します。

b [このグループのユーザーの変更] をクリックして、グループメンバーシップのルールを設定します。

5 グループに資格を追加します。

a 左側のペインで、[資格] を選択します。

b [資格を追加] をクリックして、アプリケーションと各アプリケーションのデプロイ方法を選択します。

c [保存] をクリックします。


46 VMware, Inc.

ユーザー属性の確認

[ユーザー属性] ページ内のすべての VMware Identity Manager ディレクトリに設定されているユーザー属性を確認して、必要に応じて変更します。ユーザーがジャストインタイムプロビジョニングを介してプロビジョニングされている場合、ユーザーの作成に SAML アサーションが使用されます。[ユーザー属性] ページに表示されている属性と一致する SAMLアサーションのこれらの属性だけが、使用されます。

重要属性が [ユーザー属性] ページで必須としてマークされている場合、SAML アサーションにその属性が含まれている必要があります。含まれていない場合には、ログインが失敗します。

ユーザー属性を変更する場合、テナントのその他のディレクトリや構成への影響について注意してください。[ユーザー属性] ページは、テナントのすべてのディレクトリに適用されます。

注意 domain 属性を必須としてマークする必要はありません。

手順


2 [セットアップ] をクリックして、[ユーザー属性] をクリックします。

3 属性を確認し、必要に応じて変更します。

第 6 章ジャストインタイムユーザープロビジョニング

VMware, Inc. 47

ジャストインタイムユーザープロビジョニングの構成VMware Identity Manager サービスで ID プロバイダを作成または更新するときに、サードパーティ ID プロバイダにジャストインタイムユーザープロビジョニングを構成できます。

ジャストインタイムプロビジョニングを有効にするときに、ジャストインタイムディレクトリを作成して、このディレクトリのドメインを 1 つ以上指定します。これらのドメインに属するユーザーが、ディレクトリに対して追加されます。

少なくとも 1 つのドメインを指定する必要があります。このドメインは、VMware Identity Manager サービスのすべてのディレクトリで一意である必要があります。複数のドメインを指定する場合、SAML アサーションにドメイン属性を追加する必要があります。単一のドメインを指定する場合、ドメイン属性がなくても、SAML アサーションのドメインとして使用されます。ドメイン属性が指定される場合、この値はドメインのいずれかと一致する必要があります。一致しないとログインが失敗します。

手順

1 VMware Identity Manager サービスの管理コンソールにログインします。

2 [ID とアクセス管理] タブをクリックしてから、[ID プロバイダ] をクリックします。

3 [ID プロバイダを追加] をクリックするか、ID プロバイダを選択します。

4 [ジャストインタイムユーザープロビジョニング] セクションで、[有効化] をクリックします。

5 次の情報を指定します。

n 新しいジャストインタイムディレクトリの名前。

n 1 つ以上のドメイン。

重要ドメイン名は、テナントのすべてのディレクトリにおいて一意である必要があります。

例：

6 ページの残りの設定を完了して、[追加] または [保存] をクリックします。詳細については、「ユーザー認証のためのサードパーティ ID プロバイダインスタンスの構成 (P. 71)」を参照してください。

SAML アサーションの要件サードパーティ ID プロバイダでジャストインタイムユーザープロビジョニングが有効になっている場合、SAML アサーションを基準としてログイン時に VMware Identity Manager サービスでユーザーが作成または更新されます。ID プロバイダによって送信される SAML アサーションには、特定の属性が含まれる必要があります。

n SAML アサーションには、userName 属性が含まれている必要があります。

n SAML アサーションには、VMware Identity Manager サービスで必須としてマークされているすべてのユーザー属性が含まれている必要があります。


48 VMware, Inc.

管理コンソールでユーザー属性を表示または編集するには、[ID とアクセス管理] タブで [セットアップ] をクリックしてから、[ユーザー属性] をクリックします。

重要 SAML アサーションのキーが、大文字小文字も含めて、属性名と完全に一致していることを確認します。

n ジャスインタイムディレクトリで複数のドメインを構成している場合、SAML アサーションには domain 属性が含まれる必要があります。属性値は、ディレクトリに構成されているドメインのいずれかと一致する必要があります。値が一致しない、あるいはドメインが指定されていない場合、ログインは失敗します。

n ジャストインタイムディレクトリに単一のドメインを構成している場合、SAML アサーションでの domain 属性の指定は任意になります。

domain 属性を指定する場合、その値がディレクトリに構成されているドメインと一致していることを確認します。SAML アサーションに特定のドメイン属性が含まれない場合、ディレクトリに構成されたドメインにユーザーは関連付けられます。

n ユーザー名の更新を許可する場合、SAML アサーションに ExternalId 属性を含めます。ユーザーは ExternalIdによって識別されます。次にログインするときに、SAML アサーションに異なるユーザー名が含まれる場合、ユーザーはそれでも正しく識別され、ログインは成功し、ユーザー名は Identity Manager サービスで更新されます。

SAML アサーションの属性は、次のようにユーザーの作成や更新で使用されます。

n Identity Manager サービスで必須または任意指定の属性（[ユーザー属性] ページで表示）が使用されます。

n [ユーザー属性] ページの属性と一致しない属性は無視されます。

n 値のない属性は無視されます。

ジャストインタイムユーザープロビジョニングの無効化ジャストインタイムユーザープロビジョニングを無効にできます。このオプションを無効にすると、ログイン時に新しいユーザーが作成されず、既存のユーザーは更新されません。既存のユーザーは、引き続き ID プロバイダによって認証されます。

手順

1 管理コンソールで、[ID とアクセス管理] タブをクリックしてから、[ID プロバイダ] をクリックします。

2 編集する ID プロバイダをクリックします。

3 [ジャストインタイムユーザープロビジョニング] セクションで、[有効化] チェックボックスを選択解除します。

ジャストインタイムディレクトリの削除ジャストインタイムディレクトリは、ジャストインタイムユーザープロビジョニングが有効になっているサードパーティID プロバイダに関連付けられているディレトリです。ディレクトリを削除すると、ディレクトリのすべてのユーザーが削除され、ジャストインタイム構成が無効になります。ジャストインタイムの ID プロバイダには 1 つのディレクトリしか関連付けることができないため、このディレクトリを削除すると、この ID プロバイダは使用できなくなります。

ID プロバイダでジャストインタイム構成を再度有効にするには、新しいディレクトリを作成する必要があります。

手順



VMware, Inc. 49

2 [ディレクトリ] ページで、削除するディレクトリを選択します。

[タイプ] 列でディレクトリタイプを確認して、ジャストインタイムディレクトリを特定できます。

3 ディレクトリ名をクリックします。

4 [ディレクトリを削除] をクリックします。

エラーメッセージ管理者やユーザーに、ジャストインタイムプロビジョニングに関連するエラーが表示される可能性があります。たとえば、SAML アサーションで必須属性が欠落していると、エラーが発生し、ユーザーはログインできません。

次のエラーが管理コンソールで表示される可能性があります。

エラーメッセージソリューション

JIT ユーザープロビジョニングが有効になっている場合、

少なくとも 1 つのディレクトリが ID プロバイダに関連付

けられている必要があります。

ID プロバイダに関連付けられているディレクトリがありません。ジャストインタイムプロビジョニングオプションが有効になっている ID プロバイダには、ジャストインタイムディレクトリが関連付けられている必要があります。1 管理コンソールの [ID とアクセス管理] タブで、[ID プロバイダ] をクリッ

クして、ID プロバイダをクリックします。2 [ジャストインタイムユーザープロビジョニング] セクションで、ディレ

クトリと 1 つ以上のドメインを指定します。3 [保存] をクリックします。ジャストインタイムディレクトリが作成されます。

次のエラーがログインページで表示される可能性があります。


ユーザー属性が欠落しています：<名前>。サードパーティ ID プロバイダから送信された SAML アサーションで必須のユーザー属性が欠落しています。[ユーザー属性] ページで必須とマークされているすべての属性が、SAML アサーションに含まれている必要があります。正しい SAML アサーションを送信するようにサードパーティ ID プロバイダの設定を変更します。

ドメインが欠落しており、推測できません。 SAML アサーションにドメイン属性が含まれておらず、ドメインを決定できません。ドメイン属性は、次の状況で必須になります。

n ジャストインタイムディレクトリに複数のドメインが構成されている。

n [ユーザー属性] ページでドメインが必須属性としてマークされている。

ドメイン属性が指定される場合、この値はディレクトリに指定され

ているドメインのいずれかと一致する必要があります。

正しい SAML アサーションを送信するようにサードパーティ ID プロバイダの設定を変更します。


50 VMware, Inc.


属性名：<名前>、値：<値>。 SAML アサーションの属性が、テナントの [ユーザー属性] ページのいずれの属性とも一致しない場合は、属性は無視されます。

JIT ユーザーの作成または更新に失敗しました。サービスでユーザーを作成できませんでした。可能性のある原因は

次のとおりです。

n SAML アサーションで必須属性が欠落している。

[ユーザー属性] ページで属性を確認し、必須とマークされているすべての属性が SAML アサーションに含まれていることを確認します。

n ユーザーのドメインを決定できなかった。

SAML アサーションでドメイン属性を指定して、その値がジャストインタイムディレクトリに構成されているドメインのいずれかと一致していることを確認します。


VMware, Inc. 51


52 VMware, Inc.

VMware Identity Manager でのユーザー認証の構成 7

VMware Identity Manager は複数の認証方法をサポートします。単一の認証方法を構成し、二要素のチェーン認証を設定することができます。また、RADIUS および SAML プロトコルには外部の認証方法を使用することができます。

VMware Identity Manager サービスで使用する ID プロバイダインスタンスは、SAML 2.0 アサーションを使用してサービスと通信するネットワーク内のフェデレーション機関を作成します。

VMware Identity Manager サービスを初めて展開する場合、コネクタはサービスの最初の ID プロバイダです。ユーザー認証と管理には既存の Active Directory インフラストラクチャが使用されます。

次の認証方法がサポートされます。これらの認証方法は、管理コンソールで構成します。

認証方法説明

パスワード（オンプレミ

ス展開）

Active Directory 以外何も構成しない場合、VMware Identity Manager は Active Directory によるパスワード認証をサポートします。この方法では、Active Directory に対して直接、ユーザーを認証します。

Kerberos（デスクトップ向け）

Kerberos 認証は、ドメインユーザーにアプリケーションポータルへのシングルサインオンアクセスを提供します。ユーザーは、一度ネットワークにログインすれば別途アプリケーションポータルにサインインする必要はありません。Kerberos 認証では 2 つの認証方法を構成できます。1 つは統合 Windows 認証を使用するデスクトップ用の Kerberos 認証、もう 1 つは Active Directory と AirWatch 間で信頼関係が確立されている場合に構成できる iOS 9 モバイルデバイス用の組み込みの Kerberos 認証です。

証明書（オンプレミス展

開）

証明書による認証を構成すると、クライアントはデスクトップやモバイルデバイス上の証明書、およびスマートカードアダプタを使用した認証を行うことができます。証明書による認証では、ユーザーが認証に必要な物を用意し、知識を持つ必要があります。X.509 証明書は、公開鍵基盤の規格を使用して、証明書に含まれる公開鍵がユーザーに属するものであることを確認します。

RSA SecurID（オンプレミス展開）

RSA SecurID 認証が構成されている場合、VMware Identity Manager は RSA SecurID サーバの認証エージェントとして構成されます。RSA SecurID 認証では、ユーザーがトークンベースの認証システムを使用する必要があります。RSA SecurID は、企業ネットワークの外部から VMware Identity Manager にアクセスするユーザーのための認証方法です。

RADIUS（オンプレミス展開）

RADIUS 認証は、二要素認証オプションを提供します。VMware Identity Manager サービスにアクセスできる RADIUS サーバをセットアップします。ユーザーがユーザー名とパスコードでログインすると、認証のためのアクセス要求が RADIUS サーバに送信されます。

RSA AdaptiveAuthentication（オンプレミス展開）

RSA 認証は、Active Directory によるユーザー名とパスワードのみの認証よりも強固な多要素認証を実現します。RSA Adaptive Authentication が有効の場合、リスクポリシーで指定されたリスクインジケータがRSA ポリシー管理アプリケーションで設定されます。アダプティブ認証の VMware Identity Manager サービス構成は必要な認証プロンプトを決定するために使用されます。

モバイル SSO（iOS 版） iOS 版のモバイル SSO 認証は AirWatch により管理された iOS デバイスのシングルサインオン認証に使用されます。モバイル SSO（iOS 版）認証は、Identity Manager サービスの一部であるキー配布センター (KDC)を使用します。KDC サービスは、この認証方法を有効にする前に VMware Identity Manager サービスで開始する必要があります。

モバイル SSO（Android版）

Android 版のモバイル SSO 認証は AirWatch により管理された Android デバイスのシングルサインオン認証に使用されます。認証用の証明書を AirWatch から取得するため、VMware Identity Manager サービスと AirWatch の間でプロキシサービスが設定されます。

VMware, Inc. 53

認証方法説明

パスワード（AirWatchコネクタ）

AirWatch Cloud Connector は、ユーザーパスワード認証のために VMware Identity Manager サービスに統合することができます。VMware Identity Manager サービスを構成して AirWatch ディレクトリからのユーザーを同期します。

VMware Verify 二要素認証が必要な場合、VMware Verify を第 2 の認証方法として使用することができます。最初の認証方法はユーザー名とパスワードで、2 つ目の認証方法は VMware Verify の要求承認またはコードです。VMware Verify では、サードパーティのクラウドサービスを使用してこの機能をユーザーデバイスに提供します。これを行うために、名前、メールアドレス、電話番号などのユーザー情報がサービスに保存されますが、この機能を提供する目的以外では使用されません。

パスワード（ローカル

ディレクトリ）

パスワード（ローカルディレクトリ）方法は、システムディレクトリで使用される System-IDP IDプロバイダでデフォルトで有効になっています。これは、デフォルトのアクセスポリシーに適用されます。

認証方法が構成された後、使用される認証方法をデバイスタイプに応じて指定するアクセスポリシールールを作成します。ユーザーは、認証方法、デフォルトのアクセスポリシールール、ネットワーク範囲、および構成する ID プロバイダインスタンスに基づいて認証されます。「ユーザーに適用する認証方法の管理 (P. 73)」を参照してください。


n VMware Identity Manager 用 Kerberos の構成 (P. 54)

n VMware Identity Manager のための SecurID の構成 (P. 58)

n VMware Identity Managerの RADIUS の構成 (P. 60)

n VMware Identity Manager での RSA Adaptive Authentication の構成 (P. 62)

n VMware Identity Manager で証明書またはスマートカードアダプタを使用するための構成 (P. 65)

n 二要素認証用 VMware Verify の構成 (P. 67)

n 組み込み ID プロバイダの構成 (P. 69)

n 追加の Workspace ID プロバイダの構成 (P. 71)

n ユーザー認証のためのサードパーティ ID プロバイダインスタンスの構成 (P. 71)

n ユーザーに適用する認証方法の管理 (P. 73)

VMware Identity Manager 用 Kerberos の構成Kerberos 認証によって、ドメインに正常にログインしたユーザーは、認証を再度行わずにアプリポータルにアクセスできます。

Kerberos 認証プロトコルを Identity Manager サービスに構成して、ユーザーのブラウザと Identity Manager サービス間の通信を統合 Windows 認証でセキュリティ保護しているデスクトップや、AirWatch で管理される iOS 9 モバイルデバイスへのワンタッチのシングルサインオンに利用できます。iOS 9 デバイスでの Kerberos 認証については、「AirWatchにより管理された iOS デバイス向けのモバイルシングルサインオン認証の実装 (P. 122)」を参照してください。

統合 Windows 認証を使用したデスクトップ用 Kerberos の実装デスクトップ用に Kerberos 認証をセットアップするには、Kerberos プロトコルによってユーザーのブラウザと IdentityManager サービス間の通信を保護できるように、統合 Windows 認証を有効にします。

デスクトップで Kerberos 認証が有効な場合は、Identity Manager サービスがユーザーデスクトップの認証情報を検証します。検証には、Active Directory のドメインサービスとして実装されているキー配布センター (KDC) が配布するKerberos チケットが使用されます。Kerberos がユーザーの展開環境で機能するようにするために、Active Directory を直接構成する必要はありません。

ユーザーがログインする際に Kerberos 認証情報をサービスに送信するよう、エンドユーザーの Web ブラウザを構成する必要があります。「Kerberos 用のブラウザの構成 (P. 56)」を参照してください。


54 VMware, Inc.

統合 Windows 認証を使用したデスクトップ用 Kerberos 認証の構成

VMware Identity Manager サービスを構成してデスクトップ用の Kerberos 認証を使用するには、ドメインに参加してVMware Identity Manager コネクタで Kerberos 認証を有効にする必要があります。

手順

1 管理コンソールの [ID とアクセス管理] タブで、[セットアップ] を選択します。

2 [コネクタ] ページで [ドメインに参加] をクリックし、Kerberos 認証を構成しているコネクタをドメインに参加させます。

3 [ドメインに参加] ページで、Active Directory ドメインの情報を入力します。


ドメイン Active Directory の完全修飾ドメイン名を入力します。入力するドメイン名は、コネクタサーバが存在するのと同じ Windows ドメインである必要があります。

ドメインユーザー

システムを Active Directory ドメインに参加させる権限を持つ、Active Directory 内のアカウントのユーザー名を入力します。

ドメインパスワード

Active Directory ユーザー名と関連付けられているパスワードを入力します。このパスワードがVMware Identity Manager によって保存されることはありません。

[保存] をクリックします。

[ドメインに参加] ページを更新すると、現在ドメインに参加していることを示すメッセージが表示されます。

4 コネクタの [ワーカー] 列で [認証アダプタ] をクリックします。

5 [KerberosIdpAdapter] をクリックします。

ID マネージャーのログインページにリダイレクトされます。

6 [KerberosldpAdapter] の行で [編集] をクリックして、Kerberos 認証ページを構成します。


名前名前は必須です。デフォルトの名前は、KerberosIdpAdapter です。このタイプは変更できます。

ディレクトリ

UID 属性ユーザー名を含むアカウント属性を入力します。

Windows 認証を有効にする

ユーザーのブラウザと VMware Identity Manager 間にまで認証を拡張する場合に選択します。

NTLM を有効にする

Active Directory インフラストラクチャが NTLM 認証に依存している場合にのみ、NT LAN Manager (NTLM)プロトコルベースの認証を有効にするときに選択します。

リダイレクトを

有効にする

ラウンドロビン DNS やロードバランサが Kerberos でサポートされない場合に選択します。認証要求は、リダイレクトホスト名にリダイレクトされます。選択した場合、[ホスト名をリダイレクト] テキストボックスにリダイレクトホスト名を入力します。これは、通常はサービスのホスト名になります。


次に進む前に

デフォルトのアクセスポリシーに認証方法を追加します。[ID とアクセス管理] > [管理] > [ポリシー] ページに移動して、デフォルトのポリシールールを編集し、正しい認証順序で Kerberos 認証をルールに追加します。

第 7 章 VMware Identity Manager でのユーザー認証の構成

VMware, Inc. 55

Kerberos 用のブラウザの構成

Kerberos が有効な場合は、ユーザーのログイン時に Kerberos 認証情報をサービスに送信するよう、Web ブラウザを構成する必要があります。

Windows を実行しているコンピュータの Identity Manager サービスに Kerberos 認証情報を送信するように、Webブラウザ（Firefox、Internet Explorer、および Chrome）を構成します。すべてのブラウザで、追加構成が必要です。

Web インターフェイスにアクセスするための Internet Explorer の構成

ユーザーの展開環境に Kerberos が構成されていたり、Internet Explorer ブラウザを使用してユーザーが Web インターフェイスにアクセスできるようにしたりするには、Internet Explorer ブラウザを構成する必要があります。

Kerberos 認証は、Windows オペレーティングシステム上の VMware Identity Manager と連携して動作します。

注意ここに記載する Kerberos 関連の手順を、他のオペレーティングシステムに適用しないでください。

開始する前に

Kerberos を構成した後に、Internet Explorer ブラウザをユーザーごとに構成するか、ユーザーに手順を指示します。

手順

1 Windows にドメイン内のユーザーとしてログインしていることを確認します。

2 Internet Explorer で、自動ログインを有効にします。

a [ツール] - [インターネットオプション] - [セキュリティ] を選択します。

b [レベルのカスタマイズ] を選択します。

c [イントラネットゾーンでのみ自動的にログインする] を選択します。

d [OK] をクリックします。

3 コネクタ仮想アプライアンスのこのインスタンスがローカルイントラネットゾーンの一部であることを確認します。

a Internet Explorer を使用して、VMware Identity Manager ログインのための URLhttps://myconnectorhost.domain/authenticate/ にアクセスします。

b ブラウザウィンドウのステータスバーの右下に表示されているゾーンを確認します。

ゾーンがローカルイントラネットであれば、Internet Explorer の構成は完了です。

4 ゾーンがローカルイントラネットでない場合は、VMware Identity Manager ログインのための URL をイントラネットゾーンに追加します。

a [ツール] - [インターネットオプション] - [セキュリティ] - [ローカルイントラネット] - [サイト] を選択します。

b [イントラネットのネットワークを自動的に検出する] を選択します。

このオプションが選択されていなかった場合は、選択するだけで、をイントラネットゾーンに追加できる場合があります。

c （オプション）[イントラネットのネットワークを自動的に検出する] を選択した場合は、[OK] をクリックして、すべてのダイアログボックスを閉じます。

d [ローカルイントラネット] ダイアログボックスで、[詳細設定] をクリックします。

2 つ目の [ローカルイントラネット] という名前のダイアログボックスが表示されます。

e VMware Identity Manager の URL を [次の Web サイトをゾーンに追加する] テキストボックスに入力します。

https://myconnectorhost.domain/authenticate/

f [追加 > 閉じる > OK] をクリックします。


56 VMware, Inc.

5 Internet Explorer が信頼済みサイトとして Windows 認証をパスするよう許可されていることを確認します。

a [インターネットオプション] ダイアログボックスで、[詳細設定] タブをクリックします。

b [統合 Windows 認証を使用する] を選択します。

このオプションは、Internet Explorer の再起動後に初めて有効になります。

c [OK] をクリックします。

6 Web インターフェイスにログインして、アクセスをチェックします。

Kerberos 認証が成功すると、テストの URL が Web インターフェイスに接続されます。

Kerberos プロトコルによって、この Internet Explorer ブラウザインスタンスと VMware Identity Manager の間のすべてのやり取りのセキュリティが保証されます。これで、ユーザーはシングルサインオンで Workspace ONE ポータルにアクセスできます。

Web インターフェイスにアクセスするための Firefox の構成

展開環境に Kerberos が構成されている場合に、Firefox ブラウザを使用してユーザーが Web インターフェイスにアクセスできるようにするには、Firefox ブラウザを構成する必要があります。


開始する前に

Kerberos を構成した後に、Firefox ブラウザをユーザーごとに構成するか、ユーザーに手順を指示します。

手順

1 Firefox ブラウザの [URL] テキストボックスに about:config と入力して、詳細設定にアクセスします。

2 [細心の注意を払って使用する] をクリックします。

3 [設定名] 列の [network.negotiate-auth.trusted-uris] をダブルクリックします。

4 VMware Identity Managerの URL をテキストボックスに入力します。

https://myconnectorhost.domain.com


6 [設定名] 列の [network.negotiate-auth.delegation-uris] をダブルクリックします。

7 VMware Identity Managerの URL をテキストボックスに入力します。

https://myconnectorhost.domain.com/authenticate/


9 Firefox ブラウザを使用して、のログイン URL にログインして、Kerberos の機能をテストします。たとえば、https://myconnectorhost.domain.com/authenticate/ にログインします。

Kerberos 認証が成功すると、テスト URL が Web インターフェイスに接続されます。

Kerberos プロトコルによって、この Firefox ブラウザインスタンスと VMware Identity Manager の間のすべてのやり取りのセキュリティが保証されます。これで、ユーザーはシングルサインオンで Workspace ONE ポータルにアクセスできます。


VMware, Inc. 57

Web インターフェイスにアクセスするための Chrome ブラウザの構成

ユーザーの展開環境に Kerberos が構成されていたり、Chrome ブラウザを使用してユーザーが Web インターフェイスにアクセスできるようにしたりするには、Chrome ブラウザを構成する必要があります。


注意ここに記載する Kerberos 関連の手順を、他のオペレーティングシステムに適用しないでください。

開始する前に

n Kerberos を構成します。

n Chrome は Internet Explorer の構成を使用して Kerberos 認証を有効にするため、Internet Explorer を構成して、Chrome が Internet Explorer の構成を使用できるようにする必要があります。Chrome の Kerberos 認証の構成方法については、Google のドキュメントを参照してください。

手順

1 Chrome ブラウザを使用して、Kerberos の機能をテストします。

2 https://myconnectorhost.domain.com/authenticate/ にある VMware Identity Managerにログインします。

Kerberos 認証が成功すると、テストの URL が Web インターフェイスに接続されます。

関連するすべての Kerberos 構成が正しければ、関連プロトコル（Kerberos）によって、この Chrome ブラウザインスタンスと VMware Identity Manager の間のすべてのやり取りのセキュリティが確保されます。ユーザーはシングルサインオンで Workspace ONE ポータルにアクセスできます。

VMware Identity Manager のための SecurID の構成RSA SecurID サーバを構成する場合は、RSA SecurID サーバの認証エージェントとして VMware Identity Manager サービスの情報を追加し、VMware Identity Manager サービスで RSA SecurID サーバの情報を構成する必要があります。

SecurID を構成してセキュリティを強化する場合は、お使いの VMware Identity Manager 展開環境向けにネットワークが適切に構成されていることを確認する必要があります。SecurID については特に、正しいポートが開いていて、SecurID がネットワーク外部のユーザーを認証できることを確認する必要があります。

VMware Identity Manager セットアップウィザードを実行し、Active Directory との接続を構成したら、RSA SecurIDサーバを準備するために必要な情報を取得できます。VMware Identity Manager用に RSA SecurID サーバを準備してから、管理コンソールの SecurID を有効化します。

n RSA SecurID サーバを準備する (P. 59)

RSA SecurID サーバは VMware Identity Manager アプライアンスを認証エージェントとした情報で構成される必要があります。必須の情報は、ネットワークインターフェイスのホスト名と IP アドレスです。

n RSA SecurID 認証の構成 (P. 59)

VMware Identity Manager アプライアンスを RSA SecurID サーバの認証エージェントとして構成したら、コネクタに RSA SecurID 構成情報を追加する必要があります。


58 VMware, Inc.

RSA SecurID サーバを準備するRSA SecurID サーバは VMware Identity Manager アプライアンスを認証エージェントとした情報で構成される必要があります。必須の情報は、ネットワークインターフェイスのホスト名と IP アドレスです。

開始する前に

n RSA Authentication Manager のバージョン 6.1.2、7.1 SP2 以降、または 8.0 以降がエンタープライズネットワークにインストールされて動作していることを確認します。VMware Identity Manager サーバは、AuthSDK_Java_v8.1.1.312.06_03_11_03_16_51 (Agent API 8.1 SP1) を使用しますが、このバージョンは、RSAAuthentication Manager（RSA SecurID サーバ）の以前のバージョンのみをサポートしています。RSAAuthentication Manager（RSA SecurID サーバ）のインストールと構成の詳細については、RSA のドキュメントを参照してください。

手順

1 RSA SecurID サーバのサポート対象バージョンで、VMware Identity Managerコネクタを認証エージェントとして追加します。以下の情報を入力します。


ホスト名 VMware Identity Manager のホスト名。

IP アドレス VMware Identity Manager の IP アドレス。

代替 IP アドレス RSA SecurID サーバに到達するために、トラフィックがコネクタからネットワークアドレス変換 (NAT) デバイスにパススルーする場合は、アプライアンスのプライベート IP アドレスを入力します。

2 圧縮された構成ファイルをダウンロードし、sdconf.rec ファイルを解凍します。

VMware Identity Manager で RSA SecurID を構成するときにこのファイルを後でアップロードできるようにしておきます。

次に進む前に

管理コンソールに移動し、[ID とアクセス管理] タブの [セットアップ] ページで、コネクタを選択し、[認証アダプタ] ページで、SecurID を構成します。

RSA SecurID 認証の構成VMware Identity Manager アプライアンスを RSA SecurID サーバの認証エージェントとして構成したら、コネクタにRSA SecurID 構成情報を追加する必要があります。

開始する前に

n RSA Authentication Manager（RSA SecurID サーバ）がインストールされ、正しく構成されていることを確認します。

n 圧縮ファイルを RSA SecurID サーバからダウンロードし、サーバ構成ファイルを展開します。

手順


2 [コネクタ] ページで、RSA SecurID で構成されているコネクタのワーカーリンクを選択します。

3 [認証アダプタ] をクリックしてから、[SecurIDldpAdapter] をクリックします。

ID マネージャのログインページにリダイレクトされます。

4 [認証アダプタ] ページの [SecurIDldpAdapter] 行で、[編集] をクリックします。


VMware, Inc. 59

5 [SecurID 認証アダプタ] ページで構成します。

RSA SecurID サーバで使用される情報と生成されるファイルは、[SecurID] ページを構成する際に必要です。


名前名前は必須です。デフォルトの名前は、SecurIDldpAdapter です。このタイプは変更できます。

SecurID を有効化

このボックスをオンにして SecurID 認証を有効にします。

許可されている

認証試行回数

RSA SecurID トークンを使用する場合のログイン失敗が許可される最大回数を入力します。デフォルトは、5 回です。

注意複数のディレクトリが構成されており、追加のディレクトリを使用して RSA SecurID 認証を実装するときは、各 RSA SecurID と同じ値を [許可されている認証試行回数] に設定します。この値が同一でない場合、SecurID認証は失敗します。

コネクタのアド

レス

コネクタインスタンスの IP アドレスを入力します。入力する値は、認証エージェントとしてコネクタアプライアンスを RSA SecurID サーバに追加するときに使用した値と一致する必要があります。代替 IP アドレスプロンプトに割り当てられた値が RSA SecurID サーバにある場合は、その値をコネクタの IP アドレスとして入力します。別の IP アドレスが割り当てられていない場合は、認証エージェントとして Workspace アプライアンスをRSA SecurID サーバに追加するときに使用した値を IP アドレスのプロンプトに入力します。

エージェント IPアドレス

RSA SecurID サーバの [IP アドレス] プロンプトに割り当てられている値を入力します。

サーバ構成 RSA SecurID サーバ構成ファイルをアップロードします。最初に、RSA SecurID サーバから圧縮ファイルをダウンロードしてサーバ構成ファイル（デフォルトの名前は sdconf.rec）を解凍する必要があります。

ノードシークレット

[ノードシークレット] フィールドを空白のままにしておくと、ノードシークレットを自動生成できます。RSASecurID サーバのノードシークレットファイルをクリアすることをお勧めします。このファイルを意図的にアップロードしないでください。RSA SecurID サーバとサーバコネクタインスタンスのノードシークレットファイルが常に一致するようにしてください。どちらかでノードシークレットを変更する場合は、もう一方でも同じように変更します。


次に進む前に

デフォルトのアクセスポリシーに認証方法を追加します。[ID とアクセス管理] > [管理] > [ポリシー] ページの順に移動し、デフォルトのポリシールールを編集して、SecurID 認証をルールに追加します。「ユーザーに適用する認証方法の管理 (P. 73)」を参照してください。

VMware Identity Manager の RADIUS の構成RADIUS（リモート認証ダイヤルインユーザーサービス）認証の使用をユーザーに要求するようにVMware Identity Manager を構成できます。RADIUS サーバ情報は VMware Identity Manager サービス上で構成します。

RADIUS のサポートにより、トークンベースの二要素認証を使用する代替オプションが幅広く提供されます。RADIUS などの二要素認証ソリューションは、別のサーバでインストールされている認証マネージャと連携動作するため、ID マネージャサービスにアクセスできる構成済みの RADIUS サーバが必要となります。

ユーザーが Workspace ONE ポータルにログインするときに RADIUS 認証が有効になっていると、特別なログインダイアログボックスがブラウザに表示されます。ユーザーは RADUS 認証のユーザー名とパスコードをログインダイアログボックスに入力します。RADIUS サーバがアクセスチャレンジを発行する場合は、ID マネージャサービスによって、2つ目のパスコードの入力を求めるダイアログボックスが表示されます。現時点で、RADIUS チャレンジのサポートは、テキスト入力の要求に限定されています。

ユーザーがダイアログボックスに認証情報を入力したら、ユーザーの携帯電話に対し、コードとともに、RADIUS サーバから SMS テキストメッセージやメールを送信したり、他の何らかのアウトオブバンドメカニズムを使用してテキストを送信したりできます。ユーザーはこのテキストとコードをログインダイアログボックスに入力して、認証を完了できます。

Active Directory からユーザーをインポートできる RADIUS サーバの場合、エンドユーザーは、RADIUS 認証のユーザー名とパスコードの入力を求められる前に、まず Active Directory 認証情報の入力を求められることがあります。


60 VMware, Inc.

RADIUS サーバを準備するRADIUS サーバをセットアップしてから、VMware Identity Manager サービスからの RADIUS 要求を受け入れるように RADIUS サーバを構成します。

RADIUS サーバの設定に関する詳細については、RADIUS ベンダーのセットアップガイドを参照してください。RADIUS構成情報は、サービスで RADIUS を構成する際に使用するので、書き留めておきます。VMware Identity Manager の構成に必要な RADIUS 情報のタイプを確認するには、「VMware Identity Manager での RADIUS 認証の構成 (P. 61)」を参照してください。

セカンダリ RADIUS 認証サーバをセットアップすると、これを使用して高可用性を実現できます。RADIUS 認証に構成されたサーバタイムアウトが経過してもプライマリ RADIUS サーバが応答しない場合は、セカンダリサーバに要求がルーティングされます。プライマリサーバが応答しなくなると、セカンダリサーバがその後のすべての認証要求を受け取ります。

VMware Identity Manager での RADIUS 認証の構成VMware Identity Manager 管理コンソールで RADIUS 認証を有効にし、RADIUS 設定を構成します。

開始する前に

認証マネージャーサーバで RADIUS ソフトウェアをインストールして構成します。RADIUS 認証については、ベンダーの構成ドキュメントに従ってください。

サービス上で RADIUS を構成するには、次の RADIUS サーバ情報を把握する必要があります。

n RADIUS サーバの IP アドレスまたは DNS 名。

n 認証ポート番号。認証ポートは、通常 1812 です。

n 認証タイプ。認証タイプには、PAP（パスワード認証プロトコル）、CHAP（チャレンジハンドシェイク認証プロトコル）、MSCHAP1 および MSCHAP2（Microsoft チャレンジハンドシェイク認証プロトコル、バージョン 1 および 2）があります。

n RADIUS プロトコルメッセージで暗号化および復号化に使用される RADIUS 共有シークレット。

n RADIUS 認証に必要な特定のタイムアウトおよび再試行の値。

手順


2 [コネクタ] ページで、RADIUS 認証用に構成されているコネクタのワーカーリンクを選択します。

3 [認証アダプタ] をクリックしてから、[RadiusAuthAdapter] をクリックします。

ID マネージャーのログインページにリダイレクトされます。

4 [認証アダプタ] ページで [編集] をクリックして、次のフィールドを構成します。


名前名前は必須です。デフォルトの名前は、RadiusAuthAdapter です。このタイプは変更できます。

Radius アダプタを有効にする

RADIUS 認証を有効にするには、このボックスをオンにします。

許可されている

認証試行回数

RADIUS を使用してログインする場合のログイン失敗が許可される最大回数を入力します。デフォルトは、5 回です。

Radius サーバの試行回数

再試行の合計回数を指定します。プライマリサーバが反応しない場合、サービスは決められた時間が経つまで待機してからもう一度再試行します。

Radius サーバのホスト名/アドレス

RADIUS サーバのホスト名または IP アドレスを入力します。


VMware, Inc. 61


認証ポート Radius 認証のポート番号を入力します。これは通常 1812 になります。

アカウントポート

ポート番号に 0 を入力します。アカウントポートは、現時点で使用されていません。

認証タイプ RADIUS サーバでサポートされている認証プロトコルを入力します。PAP、CHAP、MSCHAP1、MSCHAP2 のいずれかを入力します。

共有シークレッ

ト

RADIUS サーバと VMware Identity Manager サービス間で使用される共有シークレットを入力します。

サーバタイムアウト（秒）

RADIUS サーバのタイムアウトを秒単位で入力します。この時間が経過しても RADIUS サーバが応答しない場合には、再試行が送信されます。

レルムのプリ

フィックス

（オプション）ユーザーアカウントの場所はレルムと呼ばれます。レルムのプリフィックス文字列を指定すると、ユーザー名が RADIUS サーバに送信されるときに、その文字列が名前の先頭に置かれます。たとえば、jdoe というユーザー名が入力され、レルムのプリフィックスとして DOMAIN-A\ が指定された場合は、DOMAIN-A\jdoe というユーザー名が RADIUS サーバに送信されます。これらのフィールドを構成しない場合は、入力したユーザー名だけが送信されます。

レルムのサ

フィックス

（オプション）レルムのサフィックスを指定すると、その文字列はユーザー名の末尾に置かれます。たとえば、サ

フィックスが @myco.com の場合は、[email protected] というユーザー名が RADIUS サーバに送信されます。

ログインページのパスフレーズ

のヒント

正しい RADIUS パスコードの入力をユーザーに促すために、ユーザーログインページに表示するテキスト文字列を入力します。たとえば、[Active Directory パスワード、それから SMS パスコード] でこのフィールドを構成すると、ログインページのメッセージでは [Active Directory パスワード、それから SMS パスコードを入力してください] のように表示されます。デフォルトのテキスト文字列は、[RADIUS Passcode] です。

5 セカンダリ RADIUS サーバを有効にして、高可用性を実現できます。

セカンダリサーバは、手順 4 の説明に従って構成します。


次に進む前に

デフォルトのアクセスポリシーに RADIUS 認証方法を追加します。[ID とアクセス管理] > [管理] > [ポリシー] ページの順に移動し、デフォルトのポリシールールを編集して、RADIUS 認証をルールに追加します。「ユーザーに適用する認証方法の管理 (P. 73)」を参照してください。

VMware Identity Manager での RSA Adaptive Authentication の構成RSA Adaptive Authentication は、Active Directory に対するユーザー名とパスワードだけの認証よりも強固な複数要素の認証を実現するよう実装できます。Adaptive Authentication により、リスクレベルとポリシーに基づいて、ユーザーのログイン試行が監視され、認証されます。

Adaptive Authentication が有効になっている場合は、RSA Policy Management アプリケーションでセットアップされるリスクポリシーで指定されたリスク指標、および VMware Identity Manager でのアダプティブ認証のサービス構成を使用して、ユーザー名とパスワードでユーザー認証を行うかどうかや、ユーザー認証に追加情報が必要かどうかが決

定されます。

サポートされている RSA Adaptive Authentication 認証方法VMware Identity Manager サービスでサポートされている RSA Adaptive Authentication による強固な認証方法は、電話、メール、または SMS テキストメッセージ経由のアウトオブバンド認証とチャレンジ質問です。サービス上で、提供できる RSA Adaptive Authentication 認証方法を有効にします。RSA Adaptive Authentication ポリシーにより、使用されるセカンダリ認証方法が決まります。


62 VMware, Inc.

アウトオブバンド認証は、ユーザー名とパスワードに加えて、追加検証の送信を必要とするプロセスです。ユーザーは

RSA Adaptive Authentication サーバに登録する際に、サーバ構成に応じて、メールアドレス、電話番号、またはその両方を提供します。追加検証が必要な場合は、提供されたチャネルを使用して、RSA Adaptive Authentication サーバからワンタイムパスコードが送信されます。ユーザーは、自身のユーザー名とパスワードに加えて、そのパスコードを入力します。

チャレンジ質問では、ユーザーに対し、RSA Adaptive Authentication サーバに登録する際に一連の質問に回答するよう求めます。登録のために尋ねる質問の数、およびログインページで表示するチャレンジ質問の数は構成可能です。

RSA Adaptive Authentication サーバによるユーザーの登録アダプティブ認証を使用して認証を行うためには、RSA Adaptive Authentication データベースで、ユーザーのプロビジョニングを行う必要があります。ユーザーは、ユーザー名とパスワードで初めてログインしたときに、RSA AdaptiveAuthentication データベースに追加されます。RSA Adaptive Authentication のサービスでの構成内容に応じて、ユーザーはログインするときにメールアドレス、電話番号、テキストメッセージングサービス番号 (SMS) を提供するよう求められたり、チャレンジ質問に返答するよう求められたりします。

注意 RSA Adaptive Authentication では、ユーザー名での国際文字の使用は許可されていません。ユーザー名でのマルチバイト文字の使用を許可する場合は、RSA サポートに問い合わせて、RSA Adaptive Authentication と RSAAuthentication Manager を構成してください。

Identity Manager での RSA Adaptive Authentication の構成サービス上で RSA Adaptive Authentication を構成するには、RSA Adaptive Authentication を有効にします。有効にするには、適用するアダプティブ認証方法を選択し、Active Directory の接続情報と証明書を追加します。

開始する前に

n セカンダリ認証に使用する認証方法で正しく構成されている RSA Adaptive Authentication。

n SOAP エンドポイントアドレスおよび SOAP ユーザー名についての詳細。

n Active Directory 構成情報および有効な Active Directory SSL 証明書。

手順


2 [コネクタ] ページの [ワーカー] 列で、構成されているコネクタのリンクを選択します。

3 [認証アダプタ] をクリックしてから、[RSAAAldpAdapter] をクリックします。

ID マネージャーの認証アダプタページにリダイレクトされます。

4 RSAAAldpAdapter の横にある [編集] リンクをクリックします。

5 お使いの環境に適切な設定を選択します。

注意アスタリスクは、必須フィールドを示します。その他のフィールドはオプションです。


*名前名前は必須です。デフォルトの名前は、RSAAAldpAdapter です。この名前は変更できます。

RSA AA アダプタを有効にする RSA Adaptive Authentication を有効にするには、このチェックボックスをオンにします。

*SOAP エンドポイント RSA Adaptive Authentication アダプタとサービスを統合する SOAP エンドポイントアドレスを入力します。

*SOAP ユーザー名 SOAP メッセージへの署名に使用されるユーザー名とパスワードを入力します。

RSA ドメイン Adaptive Authentication サーバのドメインアドレスを入力します。


VMware, Inc. 63


OOB メールを有効にするメールメッセージ経由でエンドユーザーにワンタイムパスコードを送信するアウトオブバンド認証を有効にするには、このチェックボックスをオンにします。

OOB SMS を有効にする SMS テキストメッセージ経由でエンドユーザーにワンタイムパスコードを送信するアウトオブバンド認証を有効にするには、このチェックボックスをオンにします。

SecurID を有効化 SecurID を有効にするには、このチェックボックスをオンにします。ユーザーは、RSA トークンとパスコードの入力を求められます。

秘密の質問を有効にする認証に登録とチャレンジ質問を使用する場合は、このチェックボックスをオンにします。

*登録のための質問数ユーザーが Authentication Adapter サーバに登録するときにセットアップする必要がある質問数を入力します。

*チャレンジのための質問数ユーザーがログインするために正しく回答する必要があるチャレンジ質問数を入力し

ます。

*許可される認証の試行回数ログインしようとしているユーザーに対し、チャレンジ質問を表示する回数を入力し

ます。ユーザーの試行回数がこの回数を超えると、認証失敗になります。

ディレクトリのタイプサポートされているディレクトリは、Active Directory だけです。

サーバポート Active Directory のポート番号を入力します。

サーバホスト Active Directory のホスト名を入力します。

SSL を使用するディレクトリ接続に SSL を使用する場合は、このチェックボックスをオンにします。Active Directory SSL 証明書を [ディレクトリ証明書] フィールドに追加します。

DNS サービスの場所の使用ディレクトリ接続に DNS サービスの場所を使用する場合はこのチェックボックスをオンにします。

ベース DN アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。

バインド DN ユーザーを検索できるアカウントを入力します。たとえば、

CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。

バインドパスワードバインド DN アカウントのパスワードを入力します。

属性を検索ユーザー名を含むアカウント属性を入力します。

ディレクトリ証明書安全な SSL 接続を確立するには、ディレクトリサーバの証明書をテキストボックスに追加します。サーバが複数の場合は、証明機関のルート証明書を追加します。


次に進む前に

[ID とアクセス管理] > [管理] タブで、組み込みの ID プロバイダでの RSA Adaptive Authentication 認証を有効にします。「組み込み ID プロバイダの構成 (P. 69)」を参照してください。

デフォルトのアクセスポリシーに RSA Adaptive Authentication 認証方法を追加します。[ID とアクセス管理] > [管理]> [ポリシー] ページに移動し、デフォルトのポリシールールを編集して Adaptive Authentication を追加します。「ユーザーに適用する認証方法の管理 (P. 73)」を参照してください。


64 VMware, Inc.

VMware Identity Manager で証明書またはスマートカードアダプタを使用するための構成

X.509 証明書認証を構成すると、クライアントはデスクトップやモバイルデバイス上の証明書や、スマートカードアダプタを使用して認証できます。証明書による認証は、ユーザーに提供する物 (プライベートキー（秘密鍵）またはスマートカード) とユーザーに提供する情報 (プライベートキーのパスワードまたはスマートカードの PIN) に基づいて行われます。X.509 証明書は、公開鍵基盤 (PKI) の規格を使用して、証明書に含まれる公開鍵がユーザーに属するものであることを確認します。スマートカード認証では、ユーザーはコンピュータにスマートカードを接続して、PIN を入力します。

スマートカードの証明書は、ユーザーのコンピュータのローカル証明書ストアにコピーされます。ローカル証明書ストアの証明書は、いくつかの例外がありますが、ユーザーのコンピュータで実行されているすべてのブラウザで利用できるた

め、ブラウザの VMware Identity Manager インスタンスでも利用できます。

注意証明書認証を構成し、ロードバランサの背後でサービスアプライアンスがセットアップされている場合、ロードバランサで VMware Identity Manager Connector が SSL パススルーで構成されており、ロードバランサで SSL を終端させないように構成します。この構成では、コネクタとクライアント間で SSL ハンドシェークを確実に実行し、コネクタに証明書を渡すことができます。ロードバランサで SSL を終端させるようにロードバランサが構成されている場合は、別のロードバランサの背後で２台目のコネクタを展開することで、証明書認証をサポートできます。

2 台目のコネクタの追加については、『VMware Identity Manager のインストールと構成』ガイドを参照してください。

証明書による認証でのユーザープリンシパル名の使用Active Directory では認証マッピングを使用できます。証明書およびスマートカードによるログインでは、ActiveDirectory のユーザープリンシパル名 (UPN) を使用して、ユーザーアカウントが検証されます。VMware Identity Manager サービスでの認証を試行するユーザーの Active Directory アカウントには、証明書の UPNと一致する有効な UPN が関連付けられている必要があります。

証明書に UPN が存在しない場合、電子メールアドレスを使用してユーザーアカウントを検証するように、VMware Identity Managerを構成できます。

また、別の UPN タイプを有効化して使用することもできます。

認証に必要な証明機関

証明書認証によるログインを有効にするには、ルート証明書と中間証明書を VMware Identity Manager にアップロードする必要があります。

証明書は、ユーザーのコンピュータのローカル証明書ストアにコピーされます。ローカル証明書ストアの証明書は、いく

つかの例外がありますが、ユーザーのコンピュータで実行されているすべてのブラウザで利用できるため、ブラウザの

VMware Identity Manager インスタンスでも利用できます。

スマートカード認証の場合、ユーザーが VMware Identity Manager インスタンスへの接続を開始すると、VMware Identity Manager サービスが信頼された証明機関 (CA) のリストをブラウザに送信します。ブラウザは、信頼された CA のリストを利用可能なユーザー証明書に対してチェックし、適切な証明書を選択してから、スマートカードのPIN の入力をユーザーに要求します。有効なユーザー証明書が複数ある場合には、ブラウザで証明書を選択するようにユーザーは求められます。

ユーザーが認証できない場合、ルート CA と中間 CA が正常にセットアップされていないか、ルートおよび中間 CA がサーバにアップロードされた後にサービスが再起動されていない可能性があります。これらの場合には、ブラウザはインストー

ルされている証明書を表示できず、ユーザーは正しい証明書を選択できないため、証明書による認証が失敗します。

証明書失効チェックの使用

証明書失効チェックを構成すると、ユーザー証明書が失効したユーザーは認証されなくなります。ユーザーが組織を退職

した場合、スマートカードを紛失した場合、または別の部門に異動した場合に、証明書が失効されることは多くあります。


VMware, Inc. 65

証明書失効リスト (CRL) とオンライン証明書ステータスプロトコル (OCSP) 証明書の失効チェックがサポートされます。CRL は、証明書を発行した CA が公開する失効された証明書のリストです。OCSP は、証明書の失効ステータスを取得するために使用される証明書検証プロトコルです。

同じ証明書認証アダプタの構成で CRL と OCSP の両方を構成できます。両方のタイプの証明書失効チェックを構成し、[OCSP の障害時に CRL を使用する] チェックボックスを有効にしている場合、OCSP が最初にチェックされ、OCSP で障害が発生した場合には、CRL に戻って失効チェックが実行されます。CRL で障害が発生した場合、OCSP に戻って失効チェックが実行されることはありません。

ログインでの CRL チェック

証明書の失効を有効にすると、VMware Identity Manager サーバは CRL を読み取って、ユーザーの証明書の失効ステータスを判断します。

証明書が失効していると、証明書による認証は失敗します。

ログインでの OCSP 証明書チェック

証明書ステータスプロトコル (OCSP) による失効チェックを構成すると、VMware Identity Managerは OCSP レスポンダに要求を送信し、特定のユーザー証明書の失効ステータスを判別します。VMware Identity Manager サーバは、OCSP 署名証明書を使用して、OCSP レスポンダから受信した応答が正規であるか検証します。

証明書が失効していれば、認証は失敗します。

OSCP レスポンダから応答を受信しない場合や、応答が無効である場合に、CRL に戻ってチェックするように、認証を構成できます。

VMware Identity Manager 用の証明書認証の構成証明書による認証は、VMware Identity Manager 管理コンソールから有効にして設定します。

開始する前に

n ユーザーから提示された証明書に署名した CA からルート証明書と中間証明書を入手します。

n （オプション）証明書認証のための有効な証明書ポリシーのオブジェクト識別子 (OID) のリスト。

n 失効チェックのための、CRL のファイルの場所および OCSP サーバの URL。

n （オプション）OCSP応答署名証明書ファイルの場所。

n 認証の前に同意書が表示される場合には、同意書の内容。

手順


2 [コネクタ] ページで、構成されているコネクタのワーカーリンクを選択します。

3 [認証アダプタ] をクリックしてから、[CertificateAuthAdapter] をクリックします。

4 証明書認証アダプタのページで構成します。

注意アスタリスクは、必須フィールドを示します。その他のフィールドはオプションです。


*名前名前は必須です。デフォルトの名前は、CertificateAuthAdapter です。この名前は変更できます。

証明書アダプタを有効にする証明書認証を有効にするには、このチェックボックスをオンにします。

*ルートおよび中間 CA 証明書アップロードする証明書ファイルを選択します。DER または PEM としてエンコードされた複数のルート CA および中間 CA 証明書を選択できます。


66 VMware, Inc.


アップロードされた CA 証明書アップロードされた証明書ファイルは、フォームの [アップロードされた CA 証明書]セクションに表示されます。

証明書に UPN が含まれていない場合はメールを使用する

ユーザープリンシパル名 (UPN) が証明書に存在しない場合に、サブジェクトの別名の拡張として emailAddress 属性を使用してユーザーアカウントを検証するには、このチェックボックスをオンにします。

承認された証明書ポリシー証明書ポリシー拡張で承認されたオブジェクト識別子のリストを作成します。

証明書発行ポリシーのオブジェクト ID 番号 (OID) を入力します。[別の値を追加] をクリックして、OID を追加します。

証明書の失効を有効にする証明書の失効チェックを有効にするには、このチェックボックスをオンにします。失効チェックにより、ユーザー証明書が失効したユーザーは認証されなくなります。

証明書から CRL を使用する証明書を発行した CA が公開する証明書失効リスト (CRL) を使用して証明書のステータス（失効しているかどうか）を確認するには、このチェックボックスをオンにします。

CRL の場所 CRL を取得するサーバのファイルパスまたはローカルファイルパスを入力します。

OCSP の失効を有効にする証明書検証プロトコルとして Online Certificate Status Protocol (OCSP) を使用して、証明書の失効ステータスを取得するには、このチェックボックスをオンにします。

OCSP の障害時に CRL を使用する CRL と OCSP の両方を構成し、OCSP チェックが利用できない場合に CRL の使用に戻るには、このチェックボックスをオンにします。

OCSP Nonce を送信する応答時に、OCSP 要求の一意の ID を送信する場合は、このチェックボックスをオンにします。

OCSP の URL OCSP による失効を有効にした場合は、失効チェック用の OCSP サーバアドレスを入力します。

OCSP レスポンダの署名証明書レスポンダの OCSP 証明書のパスを入力します。たとえば、</path/to/file.cer> のようになります。

認証前に同意書を有効にするユーザーが証明書認証を使用して Workspace ONE ポータルにログインする前に同意書ページを表示するには、このチェックボックスをオンにします。

同意書の内容同意書に表示するテキストをこのテキストボックスに入力します。


次に進む前に

n デフォルトのアクセスポリシーに証明書認証方法を追加します。[ID とアクセス管理] > [管理] > [ポリシー] ページに移動し、デフォルトのポリシールールを編集して Certificate を追加します。「ユーザーに適用する認証方法の管理 (P. 73)」を参照してください。

n 証明書認証を構成し、ロードバランサの背後でサービスアプライアンスがセットアップされている場合、ロードバランサで VMware Identity Manager コネクタが SSL パススルーで構成されており、ロードバランサで SSL を終了するように構成されていないことを確認します。この構成では、コネクタとクライアント間で SSL ハンドシェークを確実に実行し、コネクタに証明書を渡すことができます。

二要素認証用 VMware Verify の構成VMware Identity Manager 管理コンソールで、二要素認証が必要な場合に VMware Verify サービスを第 2 の認証方法として有効にできます。

管理コンソールの組み込み ID プロバイダで VMware Verify を有効にし、VMware サポートから受け取る VMware Verifyのセキュリティトークンを追加します。

2 つの認証方法を使用することをユーザー認証で要求するには、アクセスポリシールールで二要素認証を構成します。

ユーザーは自分のデバイスに VMware Verify アプリケーションをインストールし、そのデバイスを VMware Verify サービスに登録するために電話番号を提供します。デバイスと電話番号は、管理コンソールの [ユーザーとグループ] のユーザープロファイルにも登録されます。


VMware, Inc. 67

ユーザーは、最初にパスワード認証を使用してログインするときにアカウントを一度登録し、次にデバイスに表示される

VMware Verify のパスコードを入力します。最初の認証後、ユーザーはこれら 3 つの方法のいずれかを使用して認証できます。

n ワンタッチ通知で承認をプッシュします。ユーザーは、VMware Identity Manager からのアクセスをワンクリックで承認または拒否します。ユーザーは送信されたメッセージ上で [承認] または [拒否] をクリックします。

n 時間ベースのワンタイムパスワード (TOTP) パスコード。ワンタイムパスコードは 20 秒ごとに生成されます。ユーザーは、ログイン画面にこのパスコードを入力します。

n テキストメッセージ。電話 SMS は、ワンタイム検証コードをテキストメッセージで登録済みの電話番号に送信するために使用されます。ユーザーは、ログイン画面にこの検証コードを入力します。

VMware Verify では、サードパーティのクラウドサービスを使用してこの機能をユーザーデバイスに提供します。これを行うために、名前、メールアドレス、電話番号などのユーザー情報がサービスに保存されますが、この機能を提供する目的以外では使用されません。

VMware Verify の有効化VMware Verify サービスで二要素認証を有効にするには、VMware Verify ページにセキュリティトークンを追加し、組み込み ID プロバイダで VMware Verify を有効にする必要があります。

開始する前に

VMware または AirWatch のサポートを利用してサポートチケットを作成し、VMware Verify を有効にするためのセキュリティトークンを入手します。サポートチームのスタッフは要求を処理し、手順とセキュリティトークンを記載してサポートチケットを更新します。このセキュリティトークンを VMware Verify ページに追加します。

（オプション）デバイスの VMware Verify アプリケーションに表示されるロゴとアイコンをカスタマイズします。「VMwareVerify アプリケーションのブランディングのカスタマイズ (P. 113)」を参照してください。

手順

1 管理コンソールの [ID とアクセス管理] タブで、[管理] - [ID プロバイダ] の順に選択します。

2 [組み込み] という名前の ID プロバイダを選択します。

3 [VMware Verify] のギアボックスアイコンをクリックします。

4 [多要素認証を有効にする] チェックボックスを選択します。

5 VMware または AirWatch のサポートチームから受け取ったセキュリティトークンを、[セキュリティトークン] テキストボックスに貼り付けます。


次に進む前に

デフォルトのアクセスポリシーにアクセスポリシールールを作成し、VMware Verify 認証方法をルールの第 2 の認証方法として追加します。「ユーザーに適用する認証方法の管理 (P. 73)」を参照してください。

VMware Verify のログインページに独自のブランディングを適用します。「VMware Verify アプリケーションのブランディングのカスタマイズ (P. 113)」を参照してください。

VMware Verify へのエンドユーザーの登録二要素認証のために VMware Verify 認証が必要な場合、ユーザーはデバイスを登録するために VMware Verify アプリケーションをインストールして使用します。

注意 VMware Verify アプリケーションはアプリケーションストアからダウンロードできます。

VMware Verify の二要素認証が有効になると、ユーザーが初めて Workspace ONE アプリケーションにログインするとき、ユーザー名とパスワードを入力するよう求められます。ユーザー名とパスワードが検証されると、ユーザーは VMwareVerify に登録するデバイスの電話番号を入力するよう求められます。


68 VMware, Inc.

[登録] をクリックすると、デバイスの電話番号が VMware Verify に登録され、VMware Verify アプリケーションがダウンロードされていない場合は、ダウンロードするように求められます。

アプリケーションがインストールされると、ユーザーは、前回と同じ電話番号を入力し、ワンタイム登録コードを受け取

るための通知方法を選択するよう求められます。登録コードは登録 PIN ページに登録されます。

デバイスの電話番号が登録されると、ユーザーは VMware Verify アプリケーションに表示される時間ベースのワンタイムパスコードを使用して Workspace ONE にログインすることができます。パスコードは、デバイス上で生成され、常に変化する一意の番号です。

ユーザーは複数のデバイスを登録することができます。VMware Verify パスコードは、登録済みの各デバイスに自動的に同期されます。

ユーザープロファイルからの登録済み電話番号の削除Workspace ONE へのログインに関する問題をトラブルシューティングするために、VMware Identity Manager 管理コンソールでユーザープロファイルからユーザーの電話番号を削除できます。

手順

1 管理コンソールで、[ユーザーとグループ] をクリックします。

2 [ユーザー] ページで、リセットするユーザー名を選択します。

3 [VMware Verify] タブで [VMware Verify のリセット] をクリックします。

電話番号がユーザープロファイルから削除され、[ユーザー] リストの [VMware Verify 電話番号] 列に「N/A」と表示されます。電話番号は VMware Verify サービスから登録解除されます。ユーザーが Workspace ONE アプリケーションにログインすると、VMware Verify サービスに再度登録する電話番号を入力するよう求められます。

組み込み ID プロバイダの構成組み込み ID プロバイダは、管理コンソールの [ID とアクセス管理] > [ID プロバイダ] ページから利用できます。組み込みID プロバイダを追加で作成できます。

使用可能な組み込み ID プロバイダは、コネクタを必要としない認証方法に対応するように構成できます。VMware IdentityManager サービスへの送信専用接続モードで、DMZ の外部に展開されたコネクタで構成された認証方法。

この組み込み ID プロバイダで構成する認証方法は、追加する他の組み込み ID プロバイダで有効にできます。追加する組み込み ID プロバイダに認証方法を構成する必要はありません。

次の認証方法はコネクタを必要とせず、デフォルトの組み込み ID プロバイダから構成されます。

n iOS 版モバイル SSO

n 証明書（クラウド展開）

n AirWatch コネクタを使用するパスワード

n 二要素認証用 VMware Verify

n Android 版モバイル SSO

n AirWatch とのデバイスコンプライアンス

n パスワード（ローカルディレクトリ）

注意送信専用の接続モードでは、ファイアウォールのポートが開いている必要はありません。

これらの認証方法が組み込み ID プロバイダ内で構成されるときに、ユーザーとグループがエンタープライズディレクトリにある場合は、これらの認証方法を使用する前にユーザーとグループを VMware Identity Manager サービスに同期化する必要があります。

認証方法を有効にしたら、これらの認証方法に適用するアクセスポリシーを作成します。


VMware, Inc. 69

組み込みの ID プロバイダの構成コネクタを必要としない認証方法を関連付けてデフォルトの組み込み ID プロバイダを構成します。ここで構成する認証方法は、お使いの環境に追加する他の組み込み ID プロバイダでも有効にできます。

手順

1 [ID とアクセス管理] タブで、[管理] - [ID プロバイダ] の順に移動します。

2 [組み込み] と表示された ID プロバイダを選択し、ID プロバイダの詳細情報を設定します。


ID プロバイダ名この組み込みの ID プロバイダインスタンスの名前を入力します。

ユーザー認証するユーザーを選択します。構成されたディレクトリがリストされます。

ネットワークサービスに構成されている既存のネットワーク範囲が表示されます。各ユーザーの IPアドレスに基づいて、認証時に ID プロバイダインスタンスが使用するネットワーク範囲を選択します。

認証方法認証方法を構成するには、ギアアイコンをクリックし、認証方法を構成します。AirWatch と VMware Identity Manager を統合すると、使用する認証方法を選択できます。

デバイスコンプライアンス (AirWatch) とパスワード（AirWatch コネクタ）については、[AirWatch の構成] ページでオプションが有効になっていることを確認してください。

3 認証方法を作成したら、この組み込み ID プロバイダで使用する認証方法のチェックボックスを選択します。

4 組み込みの Kerberos 認証を使用している場合は、iOS デバイス管理プロファイルの AirWatch 構成で使用する KDC発行者証明書をダウンロードします。


構成した認証方法は、別の構成を実行しなくても、追加した他の組み込み ID プロバイダで有効にできます。

送信専用でコネクタが確立されたときに、組み込み ID プロバイダを構成するVMware Identity Manger クラウドサービスへの送信専用接続の場合は、組み込み ID プロバイダでにおいて、コネクタで構成した認証方法を有効にします。

開始する前に

n エンタープライズディレクトリのユーザーとグループは、VMware Identity Manager ディレクトリに同期する必要があります。

n 認証時に組み込みの ID プロバイダインスタンスが使用するネットワーク範囲のリスト。

n 組み込み ID プロバイダが提供する認証方法を有効にするには、その認証方法がコネクタで構成されていることを確認します。

手順

1 [ID とアクセス管理] タブで、[管理] - [ID プロバイダ] の順に移動します。

2 [組み込み] と表示された ID プロバイダを選択し、ID プロバイダの詳細情報を設定します。


ID プロバイダ名この組み込みの ID プロバイダインスタンスの名前を入力します。

ユーザー認証するユーザーを選択します。構成されたディレクトリがリストされます。

ネットワークサービスに構成されている既存のネットワーク範囲が表示されます。各ユーザーの IPアドレスに基づいて、認証時に ID プロバイダインスタンスが使用するネットワーク範囲を選択します。


70 VMware, Inc.


認証方法 AirWatch と VMware Identity Manager を統合すると、使用する認証方法を選択できます。構成する認証方法のギアアイコンをクリックします。デバイスコンプライアンス (AirWatch) とパスワード（AirWatch コネクタ）については、[AirWatch の構成] ページでオプションが有効になっていることを確認してください。

コネクタ（オプション）送信専用接続モードで構成されたコネクタを選択します。

コネクタの認証方法コネクタ上で構成された認証方法がこのセクションにリストされます。チェックボックスを選択して認証方法を有効にします。

3 組み込みの Kerberos 認証を使用している場合は、iOS デバイス管理プロファイルの AirWatch 構成で使用する KDC発行者証明書をダウンロードします。


追加の Workspace ID プロバイダの構成VMware Identity Manager コネクタを最初に構成するとき、コネクタでユーザー認証を有効にすると、Workspace IDPが ID プロバイダとして作成され、パスワード認証が有効になります。

追加のコネクタを異なるロードバランサの背後で構成できます。環境に複数のロードバランサが含まれている場合は、ロードバランシングされた各構成の認証用に、別の Workspace ID プロバイダ (IDP) を構成できます。『VMware IdentityManager のインストールと構成』ガイドの「追加コネクタアプライアンスのインストール」のトピックを参照してください。

異なる Workspace ID プロバイダを同じディレクトリに関連付けることができます。また、複数のディレクトリを構成している場合は、使用するディレクトリを選択できます。

手順

1 管理コンソールの [ID とアクセス管理] タブで、[管理] - [ID プロバイダ]の順に選択します。

2 [ID プロバイダを追加] をクリックして、[Workspace IDP を作成] を選択します。

3 ID プロバイダインスタンスの設定を編集します。


ID プロバイダ名 Workspace ID プロバイダインスタンスの名前を入力します。

ユーザーこの Workspace ID プロバイダを使用して認証するユーザーの VMware IdentityManager ディレクトリを選択します。

コネクタ選択したディレクトリに関連付けられていないコネクタが表示されます。ディレクト

リに関連付けるコネクタを選択します。

ネットワークサービス内で構成されている既存のネットワーク範囲が表示されます。

各ユーザーの IP アドレスに基づいて、認証時に ID プロバイダインスタンスが使用するネットワーク範囲を選択します。


ユーザー認証のためのサードパーティ ID プロバイダインスタンスの構成VMware Identity Manager サービスでユーザー認証に使用するサードパーティ ID プロバイダを構成できます。

管理コンソールを使用してサードパーティ ID プロバイダインスタンスを追加する前に、次の作業を完了しておく必要があります。

n サードパーティインスタンスが SAML 2.0 互換であり、サービスがサードパーティインスタンスに到達できることを確認します。


VMware, Inc. 71

n 管理コンソールで ID プロバイダを構成するときに追加する、適切なサードパーティメタデータ情報を取得します。サードパーティのインスタンスから取得するメタデータ情報は、メタデータへの URL または実際のメタデータのいずれかです。

n この ID プロバイダに対してジャストインタイムプロビジョニングが有効な場合は、SAML アサーションが必要かどうか検討してください。ID プロバイダによって送信される SAML アサーションには、特定の属性を含める必要があります。「SAML アサーションの要件 (P. 48)」を参照してください。

ID プロバイダインスタンスを追加および構成するID プロバイダインスタンスを VMware Identity Manager 環境に追加して構成することで、高可用性を実現し、追加のユーザー認証方法をサポートし、ユーザー IP アドレス範囲に基づいて柔軟にユーザー認証プロセスを管理できます。

開始する前に

n 認証時に ID プロバイダインスタンスが使用するネットワーク範囲を指定します。「ネットワーク範囲を追加または編集する (P. 73)」を参照してください。

n サードパーティのメタデータドキュメントにアクセスします。メタデータの URL または実際のメタデータのいずれかにアクセスします。

手順

1 管理コンソールの [ID とアクセス管理] タブで、[管理] - [ID プロバイダ] の順に選択します。

2 [ID プロバイダを追加] をクリックして、[サードパーティ IDP を作成] を選択します。ID プロバイダインスタンスの設定を編集します。

3 ID プロバイダインスタンスの設定を編集します。

フォーム項目説明

ID プロバイダ名この ID プロバイダインスタンスの名前を入力します。

SAML メタデータサードパーティの XML ベースの IdP メタデータドキュメントを追加して、ID プロバイダとの信頼を確立します。

1 SAML メタデータ URL または xml コンテンツをテキストボックスに入力します。2 [プロセス IdP メタデータ] をクリックします。IdP でサポートされている NameID の形式は、メ

タデータから抽出され、[名前 ID の形式] テーブルに追加されます。3 [名前 ID 値] 列では、表示される ID 形式にマッピングするサービスのユーザー属性を選択します。

独自のサードパーティ名の ID 形式を追加して、サービスのユーザー属性値にマッピングできます。4 （オプション）NameIDPolicy 応答識別子の文字列形式を選択します。

ジャストインタイムプロビジョニング

ジャストインタイムプロビジョニングを構成すると、ユーザーが初めてログインしたときに、IdentityManager サービスでユーザーが動的に作成されます。JIT ディレクトリが作成され、SAML アサーションの属性を使用してサービスでユーザーが作成されます。第 6 章「ジャストインタイムユーザープロビジョニング (P. 45)」を参照してください。

ユーザーこの ID プロバイダを使用して認証できるユーザーのディレクトリを選択します。

ネットワークサービス内で構成されている既存のネットワーク範囲が表示されます。

この ID プロバイダインスタンスに振り分けるユーザーのネットワーク範囲を、その IP アドレスに基づいて選択します。

認証方法サードパーティ ID プロバイダによってサポートされる認証方法を追加します。認証方法をサポートする SAML 認証コンテキストクラスを選択します。


72 VMware, Inc.


シングルサインアウト構成シングルサインアウトを有効にすると、ユーザーがログアウトするときに、ID プロバイダのセッションからもログアウトされます。シングルサインアウトを有効にしない場合、ユーザーがログアウトしても、ID プロバイダのセッションがアクティブなままになります。（オプション）ID プロバイダで SAML シングルログアウトプロファイルがサポートされている場合、シングルサインアウトを有効にし、[リダイレクト URL] テキストボックスを空白にします。ID プロバイダで SAML シングルログアウトプロファイルがサポートされていない場合、シングルサインアウトを有効にし、ユーザーが VMware Identity Manager からログアウトするときのリダイレクト先となる ID プロバイダのログアウト URL を入力します。リダイレクト URL を構成済みで、ID プロバイダのログアウト URL にリダイレクトされたユーザーをVMware Identity Manager のログインページに戻すようにする場合、ID プロバイダのリダイレクトURL で使用されるパラメータ名を入力します。

SAML 署名証明書 [サービスプロバイダ (SP) メタデータ] をクリックして、VMware Identity Manager の SAML サービスプロバイダのメタデータ URL を確認します。URL をコピーして保存します。この URL は、サードパーティ ID プロバイダで SAML アサーションを編集して VMware Identity Manager ユーザーをマッピングするときに構成されます。

IdP ホスト名ホスト名のテキストボックスが表示されている場合は、ID プロバイダがリダイレクトされる認証用ホストの名前を入力します。443 以外の非標準ポートを使用している場合、ホスト名を「ホスト名:ポート」の形式で設定します。たとえば、myco.example.com:8443 のように入力します。


次に進む前に

n サービスのデフォルトポリシーに ID プロバイダの認証方法を追加します。「認証方法をポリシールールに適用する (P. 75)」を参照してください。

n サードパーティ ID プロバイダの構成を編集して、保存した SAML 署名証明書の URL を追加します。

ユーザーに適用する認証方法の管理

VMware Identity Manager サービスでは、構成する認証方法、デフォルトのアクセスポリシー、ネットワーク範囲、および ID プロバイダインスタンスに基づいて、ユーザーを認証します。

ユーザーがログインを試行するときに、サービスはデフォルトのアクセスポリシーを評価して、適用するポリシー内のルールを選択します。認証方法は、ルールに表示されている順序で適用されます。ルールの認証方法とネットワーク範囲

の要件と一致する最初の ID プロバイダインスタンスが選択されます。ユーザー認証要求がその ID プロバイダインスタンスに転送され、認証が行われます。認証が失敗すると、ルールで構成されている次の認証方法が適用されます。

デバイスタイプ、またはデバイスタイプとネットワーク範囲に基づいて認証方法が使用されるように指定するルールを追加できます。たとえば、特定のネットワークから iOS デバイスを使用してログインするユーザーに RSA SecurID を使用して認証するよう求めるルールを構成できます。その後、社内ネットワークの IP アドレスからログインするすべてのデバイスタイプにパスワードを使用して認証するよう求めるルールを構成できます。

ネットワーク範囲を追加または編集する

ネットワーク範囲を作成して、ユーザーがログインできる IP アドレスを定義します。作成したネットワーク範囲は、特定の ID プロバイダインスタンスやアクセスポリシールールに追加します。

ALL RANGES と呼ばれるネットワーク範囲は、デフォルトとして作成されます。このネットワーク範囲には、インターネットで利用可能なすべての IP アドレス、つまり 0.0.0.0 から 255.255.255.255 が含まれます。展開環境の ID プロバイダインスタンスが 1 つの場合、デフォルトのネットワーク範囲に対して IP アドレス範囲を変更したり、他の範囲を加えたりして、特定の IP アドレスの除外や追加を行えます。特定の目的に合わせて適用できる特定の IP アドレスでネットワーク範囲を作成できます。

注意デフォルトのネットワーク範囲 ALL RANGES とその説明「全範囲用のネットワーク」は、編集可能です。[ネットワーク範囲] ページの[編集] 機能を使用すると、テキストを別の言語に変更することを含めて、名前と説明を編集できます。


VMware, Inc. 73

開始する前に

n ネットワークトポロジを基準として、VMware Identity Manager の展開環境のネットワーク範囲を定義します。

n サービスで View が有効な場合は、ネットワーク範囲ごとに View の URL を指定します。View モジュールが有効になっている場合にネットワーク範囲を追加するには、Horizon Client アクセスの URL およびネットワーク範囲のポート番号を記録します。詳細については、View のドキュメントを参照してください。

VMware Identity Manager の「View デスクトッププールおよびアプリケーションへのアクセスの提供」の章を参照してください。

手順

1 管理コンソールの [ID とアクセス管理] タブで、[セットアップ] - [ネットワーク範囲] を選択します。

2 既存のネットワーク範囲を編集するか、新しいネットワーク範囲を追加します。


既存の範囲の編集編集するネットワーク範囲の名前をクリックします。

範囲の追加新しい範囲を追加するには、[ネットワーク範囲を追加] をクリックします。

3 [ネットワーク範囲を追加] ページを編集します。


名前ネットワーク範囲の名前を入力します。

説明ネットワーク範囲の説明を入力します。

View ポッド View ポッドオプションは、View モジュールが有効の場合のみ表示されます。Client アクセスの URL ホスト。ネットワーク範囲に対して、正しい Horizon Client アクセスの URL を入力します。Client アクセスポート。ネットワーク範囲に対して、正しい Horizon Client アクセスのポートを入力します。

IP 範囲 IP 範囲を編集または追加し、必要なすべての IP アドレスを含め、不必要な IP アドレスが含まれないようにします。

次に進む前に

n 各ネットワーク範囲を ID プロバイダインスタンスに関連付けます。

n ネットワーク範囲をアクセスポリシールールに適宜に関連付けます。第 8 章「アクセスポリシーの管理 (P. 77)」を参照してください。

デフォルトのアクセスポリシーの適用VMware Identity Manager サービスには、Workspace ONE ポータルと Web アプリへのユーザーアクセスを制御するデフォルトのアクセスポリシーが含まれています。必要に応じてポリシーを編集してポリシーを変更できます。

パスワード認証以外の認証方法を有効にする場合、デフォルトのポリシーを編集して、ポリシールールに有効にした認証方法を追加する必要があります。

デフォルトのアクセスポリシー内の各ルールでは、アプリケーションポータルへのユーザーアクセスを許可するための一連の基準が満たされている必要があります。ネットワーク範囲を適用して、コンテンツにアクセスできるユーザーのタ

イプを選択し、使用する認証方法を選択します。第 8 章「アクセスポリシーの管理 (P. 77)」を参照してください。

サービスがログインを試行する回数は、認証方法によって異なります。Kerberos や証明書による認証では、サービスは1 度だけ認証を試行します。ユーザーのログイン試行が失敗すると、ルールの次の認証方法が試みられます。ActiveDirectory パスワードおよび RSA SecurID 認証によるログインの最大失敗試行回数はデフォルトで 5 回に設定されています。ユーザーがログインに 5 回失敗すると、サービスはリストの次の認証方法を使用してログインを試みます。すべての認証方法で失敗すると、サービスはエラーメッセージを表示します。


74 VMware, Inc.

認証方法をポリシールールに適用する

パスワード認証の方法だけが、デフォルトのポリシールールに構成されています。構成したその他の認証方法を選択したり、認証に使用する認証方法の順序を設定したりするには、ポリシールールを編集する必要があります。

2 つの認証方法を使用してユーザーの認証情報を検証し、パスしなければユーザーがログインできないようにするアクセスポリシールールをセットアップできます。「アクセスポリシー設定の構成 (P. 77)」を参照してください。

開始する前に

組織でサポートしている認証方法を有効にして構成します。第 7 章「VMware Identity Manager でのユーザー認証の構成 (P. 53)」を参照してください。

手順

1 管理コンソールの [ID とアクセス管理] タブで、[管理] - [ポリシー] の順に選択します。

2 編集するデフォルトのアクセスポリシーをクリックします。

3 [ポリシールール] セクションで、編集する認証方法をクリックします。新しいポリシールールを追加する場合は、[+] アイコンをクリックします。

a ネットワーク範囲が正しいことを確認します。新しいルールを追加する場合は、このポリシールールのネットワーク範囲を選択します。

b [およびユーザーのコンテンツアクセス元が次の場合...] ドロップダウンメニューから、このルールで管理するデバイスを選択します。

c 認証の順序を構成します。[次に、以下の方法を使用して認証する必要があります] ドロップダウンメニューから、最初に適用する認証方法を選択します。

ユーザーが 2 つの認証方法を使用して認証することを求めるには、[+] をクリックし、ドロップダウンメニューで 2 つ目の認証方法を選択します。

d （オプション）追加のフォールバック認証方法を使用するよう構成するには、[前の認証方式に失敗した場合は:]ドロップダウンメニューから、有効な別の認証方法を選択します。

ルールには複数のフォールバック認証方法を追加できます。

e [再認証までの待機時間] ドロップダウンメニューで、ユーザーによる再認証が必要になるまでのセッションの長さを選択します。

f （オプション）ユーザー認証が失敗した場合に表示する、アクセス拒否のカスタムメッセージを作成します。最大 4,000 文字を使用できます。ユーザーを別のページに誘導する場合は、[リンク URL] テキストボックスでURL リンクのアドレスを入力します。[リンクテキスト] テキストボックスに、リンクとして表示されるテキストを入力します。このテキストボックスを空白のままにした場合は、続行という文字が表示されます。

g [保存] をクリックします。


VMware, Inc. 75



76 VMware, Inc.

アクセスポリシーの管理 8ユーザーがアプリケーションポータルに安全にアクセスして Web およびデスクトップアプリケーションを起動できるようにするには、アプリケーションポータルにログインしてリソースを使用する際の条件を指定するルールをアクセスポリシーに構成します。

ポリシールールは、要求元の IP アドレスをネットワーク範囲にマッピングし、ユーザーがログインに使用するデバイスのタイプを指定します。また、認証方法および認証の有効期間（時間単位）を定義します。

VMware Identity Manager サービスは、サービス全体へのアクセスを制御するデフォルトのポリシーを含みます。このポリシーをセットアップすると、すべてのデバイスタイプからすべてのネットワーク範囲へのアクセスが許可され、セッションが 8 時間でタイムアウトし、認証方法としてパスワード認証を使用するように指定されます。デフォルトのポリシーは編集できます。

注意ポリシーは、アプリケーションのセッションの持続時間の長さを制御しません。ポリシーは、ユーザーがアプリケーションを起動するのに必要な時間を制御します。


n アクセスポリシー設定の構成 (P. 77)

n Web およびデスクトップアプリケーション固有のポリシーの管理 (P. 79)

n Web またはデスクトップアプリケーション固有のポリシーを追加する (P. 81)

n カスタムのアクセス拒否エラーメッセージの設定 (P. 82)

n アクセスポリシーの編集 (P. 83)

n モバイルデバイスでのパーシステント Cookie の有効化 (P. 83)

アクセスポリシー設定の構成ポリシーには 1 つ以上のアクセスルールが含まれます。各ルールには、Workspace ONE ポータル全体または指定された Web およびデスクトップアプリケーションへのユーザーアクセスを管理するための設定値が含まれます。

ネットワーク、デバイスタイプ、AirWatch デバイスの登録および遵守ステータス、またはアクセスされているアプリケーションなどの条件に基づいて、ブロック、許可、またはステップアップ認証などのアクションを実行するように、ポ

リシールールを構成できます。

ネットワーク範囲

各ルールにネットワーク範囲を指定して、ユーザーベースを指定します。ネットワーク範囲は、1 つ以上の IP 範囲から構成されます。アクセスポリシーセットを構成する前に、[セットアップ] > [ネットワーク範囲] ページの [ID とアクセス管理] タブでネットワーク範囲を作成します。

VMware, Inc. 77

環境内の各 ID プロバイダインスタンスは、ネットワーク範囲と認証方法を関連付けます。ポリシールールを構成するときには、既存の ID プロバイダインスタンスによってネットワーク範囲が関連付けられていることを確認します。

特定のネットワーク範囲を構成して、ユーザーがアプリケーションにログインおよびアクセスできる場所を制限できます。

デバイスタイプこのルールで管理するデバイスタイプを選択します。クライアントタイプには、[Web ブラウザ]、[Workspace ONE アプリ]、[iOS]、[Android]、[Windows 10]、[OS X] および [すべてのデバイスタイプ] があります。

ルールを構成して、コンテンツにアクセスできるデバイスタイプ、およびそのタイプのデバイスによるすべての認証要求でポリシールールを使用するように指定します。

認証方法

ポリシールールで、認証方法が適用される順序を設定します。認証方法は、リストの順序で上位から適用されます。ポリシー内の認証方法とネットワーク範囲構成に一致する最上位の ID プロバイダインスタンスが選択されます。ユーザー認証要求がその ID プロバイダインスタンスに転送され、認証が行われます。認証に失敗すると、リストの上位から二番目の認証方法が選択されます。

2 つの認証方法を使用してユーザーの認証情報を検証し、合格しなければユーザーがログインできないようにするアクセスポリシールールを構成できます。1 つまたは両方の認証方法で失敗し、フォールバック方法も構成されている場合、ユーザーは構成されている次の認証方法の認証情報を入力するように求められます。次の 2 つのシナリオは、この認証チェーンがどのように機能するかを説明しています。

n 最初のシナリオでは、パスワードと Kerberos の認証情報を使用してユーザーを認証することを求めるアクセスポリシールールが構成されています。認証にパスワードと RADIUS の認証情報を求めるフォールバック認証がセットアップされています。ユーザーはパスワードを正しく入力しましたが、正しい Kerberos の認証情報を入力していません。ユーザーは正しいパスワードを入力したため、フォールバック認証で、RADIUS の認証情報だけが要求されます。ユーザーはパスワードを再入力する必要はありません。

n 2 番目のシナリオでは、パスワードと Kerberos の認証情報を使用してユーザーを認証することを求めるアクセスポリシールールが構成されています。認証に RSA SecurID と RADIUS を求めるフォールバック認証がセットアップされています。ユーザーはパスワードを正しく入力しましたが、正しい Kerberos の認証情報を入力していません。フォールバック認証では、認証に RSA SecurID の認証情報と RADIUS の認証情報の両方が要求されます。

アクセスポリシールールで認証とデバイスコンプライアンスの検証を求めるように構成するには、組み込み ID プロバイダのページで、[AirWatch とのデバイスコンプライアンス] を有効にする必要があります。「コンプライアンスチェックのためのアクセスポリシールールの構成 (P. 135)」を参照してください。

認証セッションの有効期間

各ルールで、認証の有効期間を設定します。[再認証までの待機時間] 値は、ユーザーがポータルにアクセスするか、または特定のアプリケーションを起動した前回の認証イベント以来の最長時間を決定します。たとえば、Web アプリケーションルールに値 4 を指定すると、ユーザーが別の認証イベントを開始して時間が延長される場合を除いて、Web アプリケーションを 4 時間起動できます。

カスタムのアクセス拒否エラーメッセージ無効な認証情報、不適切な構成、またはシステムエラーによってユーザーのログイン試行が失敗すると、アクセス拒否のメッセージが表示されます。デフォルトのメッセージは、次のとおりです。有効な認証方法が見つからなかったため、アクセスは

拒否されました。

各アクセスポリシールールに、デフォルトのメッセージをオーバーライドするカスタムエラーメッセージを作成できます。このカスタムメッセージには、アクションメッセージを呼び出すテキストおよびリンクを含めることができます。たとえば、管理するモバイルデバイス用のポリシールールで、ユーザーが未登録のデバイスからログインしようとした場合のために、次のようなカスタムエラーメッセージを作成できます。社内リソースにアクセスするには、このメッセージの最後に

あるリンクをクリックしてデバイスを登録してください。デバイスが既に登録されている場合は、サポートにお問い合わせください。


78 VMware, Inc.

デフォルトポリシーの例次に示すポリシーは、特定のポリシーが指定されていないアプリケーションポータルおよび Web アプリケーションへのアクセスを制御するために、デフォルトのポリシーを構成する方法の一例です。

ポリシールールは、ポリシーの一覧にある順序で上位から評価されます。[ポリシールール] セクションでルールをドラッグアンドドロップして、ルールの順序を変更できます。

1 n 社内ネットワークの場合、Kerberos とパスワード認証という 2 つの認証方法がフォールバック方法として、ルールに構成されています。社内ネットワークからアプリケーションポータルにアクセスするため、サービスはまず Kerberos によるユーザー認証を試行します。これは、ルールで最初に記載されている認証方法であるためです。それが失敗すると、ユーザーは Active Directory のパスワードを入力するよう求められます。ユーザーはブラウザを使用してログインし、8 時間のセッション期限までユーザーポータルにアクセスできます。

n 外部ネットワーク（全ての範囲）からのアクセスの場合、構成される認証方法は RSA SecurID の 1 つだけです。外部ネットワークからアプリケーションポータルにアクセスする際、ユーザーは SecurID でログインするよう要求されます。ユーザーがブラウザを使用してログインすると、4 時間のセッション期限までアプリケーションポータルにアクセスできます。

2 このデフォルトのポリシーは、Web およびデスクトップアプリケーション固有のポリシーが設定されていない、すべての Web およびデスクトップアプリケーションに適用されます。

Web およびデスクトップアプリケーション固有のポリシーの管理Web およびデスクトップアプリケーションをカタログに追加する際に、アプリケーション固有のアクセスポリシーを作成できます。たとえば、特定の Web アプリケーションについて、そのアプリケーションにアクセスできる IP アドレス、使用する認証方法、および再認証が必要になるまでの期間を指定するルール付きのポリシーを作成できます。

次の Web アプリケーション固有のポリシーは、指定した Web アプリケーションへのアクセスを制御するために作成できるポリシーの例です。

例 1：厳格な Web アプリケーション固有のポリシーこの例では、新しいポリシーが作成され、機密性の高い Web アプリケーションに適用されます。

第 8 章アクセスポリシーの管理

VMware, Inc. 79

1 企業ネットワークの外部からサービスにアクセスするには、ユーザーは RSA SecurID を使用してログインする必要があります。ユーザーはブラウザを使用してログインし、デフォルトのアクセスルールに指定されているように、4時間までアプリケーションポータルのセッションにアクセスできます。

2 4 時間後、ユーザーが、機密性の高い Web アプリケーションポリシーセットが適用された Web アプリケーションの起動を試みとしたとます。

3 サービスは、ポリシーのルールをチェックし、ユーザーリクエストが ALL RANGES ネットワーク範囲の Web ブラウザから来ているため、ALL RANGES ネットワーク範囲のポリシーを適用します。

ユーザーは RSA SecurID の認証方法でログインしていますが、セッションが失効されます。このユーザーは再認証にリダイレクトされます。再認証により、ユーザーには再度 4 時間のセッションが与えられ、アプリケーションの起動が許可されます。これに続く 4 時間、ユーザーは再認証する必要なしにアプリケーションを起動し続けることができます。


80 VMware, Inc.

例 2：さらに厳格な Web アプリケーション固有のポリシー極めて機密性の高い Web アプリケーションに適用するさらに厳格なルールの場合は、デバイスを問わず、1 時間後にSecurId を使用した再認証を必要とします。次の例は、このタイプのポリシーアクセスルールの実装方法を示しています。

1 Kerberos 認証で企業ネットワークの内部からユーザーがログインします。

このとき、例 1 でセットアップしたように、ユーザーは 8 時間アプリケーションポータルにアクセスできます。

2 ユーザーは、例 2 のポリシールールが適用された Web アプリケーションを直ちに起動しようとします。このためには RSA SecurID 認証が必要です。

3 ユーザーは RSA SecurID 認証ログインページにリダイレクトされます。

4 ユーザーがログインに成功すると、サービスによりアプリケーションが起動され、認証イベントが保存されます。

ユーザーはこのアプリケーションを最大 1 時間起動し続けることができますが、1 時間後、ポリシールールの指示に従って再認証を求められます。

Web またはデスクトップアプリケーション固有のポリシーを追加するアプリケーション固有のポリシーを作成し、特定の Web およびデスクトップアプリケーションへのユーザーのアクセスを制御できます。

開始する前に

n 各自の展開環境に適したネットワーク範囲を構成します。「ネットワーク範囲を追加または編集する (P. 73)」を参照してください。

n 各自の展開環境に適した認証方法を構成します。第 7 章「VMware Identity Manager でのユーザー認証の構成 (P. 53)」を参照してください。

n サービスへのユーザーアクセスを全体的に制御するためにデフォルトポリシーを編集する場合、アプリケーション固有のポリシーを作成する前にデフォルトポリシーを構成します。

n Web およびデスクトップアプリケーションをカタログに追加します。少なくとも 1 つのアプリケーションが [カタログ] ページに表示されていないと、アプリケーション固有のポリシーを追加することはできません。


VMware, Inc. 81

手順


2 新しいポリシーを追加するには、[ポリシーを追加] をクリックします。

3 それぞれのテキストボックスにポリシーの名前と説明を追加します。

4 適用先のセクションで、[選択] をクリックし、表示されるページで、このポリシーに関連付けられているアプリケーションを選択します。

5 [ポリシールール] セクションで、[+] をクリックしてルールを追加します。

[ポリシールールの追加] ページが表示されます。

a このルールに適用するネットワーク範囲を選択します。

b このルールでアプリケーションにアクセスできるデバイスタイプを選択します。

c 適用する順番で使用する認証方法を選択します。

d アプリケーションセッションを開くことができる時間数を指定します。

e [保存] をクリックします。

6 必要に応じて、追加のルールを構成します。


カスタムのアクセス拒否エラーメッセージの設定各ポリシールールに、カスタムのアクセス拒否エラーメッセージを作成できます。このメッセージは、認証情報が無効なため、ユーザーのログインが失敗したときに表示されます。

カスタムメッセージには、ユーザーの問題解決に役立つテキストや別の URL へのリンクを含めることができます。最大で 4,000 文字（約 650 ワード）を使用できます。

手順


2 編集するアクセスポリシーをクリックします。

3 ポリシールールのページを開くには、編集するルールの [認証方法] 列にある認証名をクリックします。

4 [カスタムエラーメッセージ] テキストボックスに、エラーメッセージを入力します。

5 特定の URL へのリンクを追加するには、[リンクテキスト] にリンクの説明を入力し、[リンク URL] に URL を入力します。

リンクは、カスタムメッセージの最後に表示されます。[リンクテキスト] にテキストではなく URL を追加した場合、テキストリンクとして次のように表示されます。

次に進みます。


次に進む前に

他のポリシールールに対してカスタムエラーメッセージを作成します。


82 VMware, Inc.

アクセスポリシーの編集デフォルトのアクセスポリシーを編集し、ポリシールールを変更したり、アプリケーション固有のポリシーを編集し、アプリケーションの追加や削除したり、ポリシールールを変更したりできます。

アプリケーション固有のアクセスポリシーはいつでも削除できます。デフォルトのアクセスポリシーは、永続的なものです。デフォルトポリシーは削除できません。

開始する前に

n 各自の展開環境に適したネットワーク範囲を構成します。「ネットワーク範囲を追加または編集する (P. 73)」を参照してください。

n 各自の展開環境に適した認証方法を構成します。第 7 章「VMware Identity Manager でのユーザー認証の構成 (P. 53)」を参照してください。

手順


2 編集するポリシーをクリックします。

3 このポリシーが Web アプリケーションやデスクトップアプリケーションに適用される場合、[アプリを編集] をクリックして、このポリシーでアプリケーションを追加または削除します。

4 [ポリシールール] セクションの [認証方法] 列で、編集するルールを選択します。

[ポリシールールを編集] ページに既存の構成が表示されます。

5 認証の順序を構成するには、[ユーザーは次の方式を使用して認証を行う必要があります] ドロップダウンメニューから最初に適用する認証方法を選択します。

6 （オプション）最初の認証が失敗したらフォールバック認証方法を使用するよう構成するには、有効な別の認証方法

をその横のドロップダウンメニューから選択します。

ルールには複数のフォールバック認証方法を追加できます。

7 [保存] をクリックし、ポリシーページで再び [保存] をクリックします。

編集したポリシールールは直ちに有効になります。

次に進む前に

アプリケーション固有のアクセスポリシーの場合は、[カタログ] ページでアプリケーションにポリシーを適用することも可能です。「Web またはデスクトップアプリケーション固有のポリシーを追加する (P. 81)」を参照してください。

モバイルデバイスでのパーシステント Cookie の有効化パーシステント Cookie を有効にして、アプリで Safari ビューコントローラ（iOS デバイス）や Chrome カスタムタブ（Android デバイス）を使用する際に、システムブラウザとネイティブアプリ間およびネイティブアプリ間でシングルサインオンを使用できるようにします。

パーシステント Cookie には、ユーザーのログインセッションの詳細が保存されます。これにより、ユーザーがVMware Identity Manager を通じて管理対象リソースにアクセスする際、ユーザー認証情報を再入力する必要はありません。Cookie のタイムアウトは、iOS および Android デバイスにセットアップするアクセスポリシールールで構成できます。

注意 Cookie は、一般的なブラウザでの Cookie 窃取やクロスサイトスクリプティング攻撃に対して脆弱であり、その影響を受けやすくなっています。


VMware, Inc. 83

パーシステント Cookie を有効化パーシステント Cookie には、ユーザーのログインセッションの詳細が保存されます。これにより、ユーザーが iOS または Android モバイルデバイスから管理対象リソースにアクセスする際、ユーザー認証情報を再入力する必要はありません。

手順

1 管理コンソールの [ID とアクセス管理] タブで、[セットアップ] - [設定] を選択します。

2 [パーシステント Cookie を有効化] をオンにします。


次に進む前に

パーシステント Cookie のセッションタイムアウトを設定するには、iOS および Android デバイスタイプのアクセスポリシールールの再認証値を編集します。


84 VMware, Inc.

ユーザーおよびグループの管理 9VMware Identity Manager サービス内のユーザーおよびグループは、エンタープライズディレクトリからインポート、または VMware Identity Manager 管理コンソール内でローカルユーザーまたはローカルグループとして作成されます。

管理コンソールでは、[ユーザーとグループ] ページでサービスのユーザーとグループを中心としたビューが表示されます。ユーザー、グループ、資格、グループ加入、および VMware Verify 電話番号を管理できます。ローカルユーザーに対しては、パスワードポリシーも管理できます。


n ユーザーとグループのタイプ (P. 85)

n ユーザー名とグループ名について (P. 86)

n ユーザーの管理 (P. 87)

n グループの作成とグループルールの構成 (P. 88)

n グループルールを編集 (P. 90)

n グループへのリソースの追加 (P. 90)

n ローカルユーザーの作成 (P. 91)

n パスワードの管理 (P. 93)

ユーザーとグループのタイプ

VMware Identity Manager サービスでは、エンタープライズディレクトリから同期されるユーザー、管理コンソールでプロビジョニングするローカルユーザー、またはジャストインタイムプロビジョニングで作成されるユーザーを使用できます。

VMware Identity Manager サービスでは、エンタープライズディレクトリから同期されるグループと管理コンソールで作成するローカルグループを使用できます。

エンタープライズディレクトリからインポートされたユーザーとグループは、サーバの同期スケジュールに従ってVMware Identity Manager ディレクトリで更新されます。[ユーザーとグループ] ページで、ユーザーとグループのアカウントを確認できます。これらのユーザーとグループを編集または削除することはできません。

ローカルユーザーとローカルグループを作成できます。ローカルユーザーはローカルディレクトリに追加されます。ローカルユーザーの属性マッピングとパスワードポリシーを管理します。ローカルグループを作成して、ユーザーのリソース資格を管理できます。

ジャストインタイムプロビジョニングで作成されるユーザーは、ID プロバイダから送信される SAML アサーションに基づいて、ユーザーのログイン時に動的に作成および更新されます。すべてのユーザー管理は、SAML アサーションを通じて処理されます。ジャストインタイムプロビジョニングを使用するには、第 6 章「ジャストインタイムユーザープロビジョニング (P. 45)」を参照してください。

VMware, Inc. 85

ユーザー名とグループ名について

VMware Identity Manager サービスでは、ユーザーとグループは、名前とドメインの両方によって一意に識別されます。そのため、それぞれ異なる Active Directory ドメインに追加すれば、ユーザーまたはグループに同じ名前を使用できます。ユーザー名とグループ名は、1 つのドメイン内で一意である必要があります。

ユーザー名

VMware Identity Manager サービスでは、それぞれを異なる Active Directory ドメインに追加すれば、複数のユーザーに同じ名前を使用できます。ユーザー名は、1 つのドメイン内で一意である必要があります。たとえば、eng.example.comドメインで jane というユーザーを登録し、sales.example.com ドメインで、別の jane というユーザーを登録できます。

ユーザーは、ユーザー名とドメインの両方によって一意に識別されます。ユーザー名に使用される

VMware Identity Manager の userName 属性は、通常、Active Directory の sAMAccountName 属性にマッピングされます。ドメインに使用される domain 属性は、通常、Active Directory の canonicalName 属性にマッピングされます。

ディレクトリを同期する際、同じ名前のユーザーがいる場合は、それぞれが異なるドメインに所属していれば正常に同期

されます。1 つのドメインでユーザー名の競合が発生している場合、同じ名前の最初のユーザーは同期されますが、同じ名前の以降のユーザーではエラーが発生します。

注意 VMware Identity Manager の既存ディレクトリのユーザードメインが誤っているか、存在しない場合は、ドメイン設定を確認した後で、もう一度ディレクトリを同期してください。「ドメイン情報を修正するためのディレクトリの同

期 (P. 87)」を参照してください。

管理コンソールでは、ユーザー名とドメインの両方を使用してユーザーを一意に識別できます。例：

n [ダッシュボード] タブの [ユーザーとグループ] 列では、ユーザーが user (domain) の形式で表示されます。たとえば、jane (sales.example.com) のように表示されます。

n [ユーザーとグループ] タブの [ユーザー] ページにある [ドメイン] 列は、ユーザーが所属するドメインを示します。

n リソース資格レポートなどのユーザー情報を表示するレポートには、[ドメイン] 列が含まれます。

エンドユーザーは、ユーザーポータルにログインする際、ログインページで所属するドメインを選択します。複数のユーザーが同じ名前を使用していても、各ユーザーが適切なドメインを選択すれば、正常にログインできます。

注意この情報は、Active Directory から同期するユーザーに適用されます。サードパーティの ID プロバイダを使用していて、ジャストインタイムユーザープロビジョニングを構成している場合は、第 6 章「ジャストインタイムユーザープロビジョニング (P. 45)」を参照してください。ジャストインタイムユーザープロビジョニングでも、各ユーザーが異なるドメインに所属していれば、同じユーザー名を使用できます。

グループ名

VMware Identity Manager サービスでは、それぞれを異なる Active Directory ドメインに追加すれば、複数のグループに同じ名前を使用できます。グループ名は、1 つのドメイン内で一意である必要があります。たとえば、eng.example.com ドメインで allusers というグループを登録し、sales.example.com ドメインでも allusers というグループを登録できます。

グループは、グループ名とドメインの両方によって一意に識別されます。

ディレクトリを同期する際、各グループが異なるドメインに所属していれば、名前が同じでも正常に同期されます。1 つのドメインでグループ名の競合が発生している場合、同じ名前の最初のグループは同期されますが、以降のグループはエ

ラーが発生します。

管理コンソールの [ユーザーとグループ] タブの [グループ] ページに、Active Directory グループがグループ名およびドメイン別に一覧表示されます。これにより、同じ名前を持つグループを区別できます。VMware Identity Manager サービス内でローカルで作成されたグループは、グループ名別に表示されます。ドメインは [ローカルユーザー] として表示されます。


86 VMware, Inc.

ドメイン情報を修正するためのディレクトリの同期

ユーザードメインが誤っているまたは不足している既存の VMware Identity Manager ディレクトリがある場合は、ドメイン設定を確認した後、もう一度ディレクトリを同期する必要があります。ドメイン設定の確認は、異なる ActiveDirectory ドメインで同じ名前を持つユーザーやグループが VMware Identity Manager ディレクトリと正常に同期され、ユーザーがログインできるようにするために必要です。

手順

1 管理コンソールで、[ID とアクセス管理] - [ディレクトリ]ページに移動します。

2 同期するディレクトリを選択し、[同期設定] をクリックして、[マップされた属性] タブをクリックします。

3 [マップされた属性] ページで、VMware Identity Manager 属性の [domain] が Active Directory の正しい属性名にマッピングされていることを確認します。

domain 属性は、通常、Active Directory の canonicalName 属性にマッピングされます。

domain 属性は、必須属性としてマークされません。

4 [保存と同期] をクリックして、ディレクトリを同期します。

ユーザーの管理

管理コンソールの [ユーザー] ページには、ユーザー ID、ドメイン、ユーザーが属するグループ、VMware Verify の電話番号、ユーザーが VMware Identity Manager で有効かどうかなどの、各ユーザーに関する情報が表示されます。

ユーザー名を選択して、詳細なユーザー情報を確認します。ユーザープロファイル、グループ加入、VMware Verify で有効にされているデバイス、ユーザー資格などの詳細情報を確認できます。

ユーザープロファイルユーザープロファイルページには、ユーザーに関連付けられた個人データ、および割り当てられたロール（ユーザーロールまたは管理者ロール）が表示されます。また、外部ディレクトリから同期するユーザー情報には、プリンシパル名、識

別名、および外部 ID データが含まれる場合があります。ローカルユーザーのプロファイルページには、ローカルユーザーのディレクトリでユーザーが使用できるユーザー属性が表示されます。

外部ディレクトリから同期するユーザーのユーザープロファイルページ内のデータは編集できません。ユーザーのロールは変更できます。

ローカルユーザーのプロファイルページでは、属性情報を編集したり、ユーザーがログインできなくなるように無効にしたり、ユーザーを削除したりできます。

グループ加入

[グループ] ページには、ユーザーが属しているグループのリストが表示されます。グループ名をクリックすれば、そのグループの詳細ページが表示されます。

VMware Verify への登録[VMware Verify] ページには、ユーザーが VMware Verify に登録した電話番号と、登録済みのデバイスが表示されます。また、アカウントが最後に使用された日も確認できます。

ユーザーの電話番号を削除できます。VMware Verify をリセットした場合、再度 Verify に登録するにはユーザーは電話番号を再入力する必要があります。「ユーザープロファイルからの登録済み電話番号の削除 (P. 69)」を参照してください。

第 9 章ユーザーおよびグループの管理

VMware, Inc. 87

アプリケーション資格

[資格を追加] をクリックして、カタログ内の使用可能なリソースの使用資格をユーザーに付与します。次に、アプリケーションを Workspace ONE ポータルに追加する方法を設定します。アプリケーションを Workspace ONE ポータルに自動的に表示するには、展開を [自動] に設定します。[ユーザーによるアクティベーション] を選択すると、アプリケーションがカタログコレクションから Workspace ONE ポータルに追加される前に、ユーザーがアプリケーションを有効にできます。

「X」ボタンが表示されているリソースタイプでは、「X」をクリックするとユーザーはそのリソースにアクセスできなくなります。

グループの作成とグループルールの構成グループを作成し、グループにメンバーを追加できます。また、グループルールを作成して、定義するルールに基づいてグループに適用できます。

ユーザーに個別に使用資格を付与するのではなく、グループを使用して、同じリソースの使用資格を複数のユーザーにま

とめて付与します。ユーザーは複数のグループに属することができます。たとえば、セールスグループと管理グループを作成した場合、セールスマネージャは両方のグループに属することができます。

グループのメンバーに適用するポリシー設定を指定できます。グループに属するユーザーは、ユーザー属性に設定するルー

ルで定義します。ユーザー属性の値が、定義されたグループルールの値から変更されると、ユーザーはグループから削除されます。

手順

1 管理コンソールの [ユーザーとグループ] タブで、[グループ] をクリックします。

2 [グループを追加] をクリックします。

3 グループ名とグループの説明を入力します。[次へ] をクリックします。

4 グループにユーザーを追加するには、ユーザー名に含まれる文字を入力します。文字を入力すると、一致する名前の

リストが表示されます。

5 ユーザー名を選択し、[ユーザーを追加] をクリックします。

続けてグループにメンバーを追加します。

6 グループにユーザーを追加したら、[次へ] をクリックします。

7 [グループルール] ページで、グループメンバーシップを付与する方法を選択します。ドロップダウンメニューで、[任意] または [すべて] を選択します。


任意グループメンバーシップのいずれかの条件が満たされた場合にグループメンバーシップを付与します。この操作は OR 条件のように機能します。たとえば、[グループが次であるもの：セールス] というルールと [グループが次であるもの：マーケティング]というルールに [任意] を選択すると、セールスとマーケティングのスタッフにこのグループのメンバーシップが付与されます。

すべてグループメンバーシップのすべての条件が満たされた場合にグループメンバーシップを付与します。[すべて] は AND 条件のように機能します。たとえば、[グループが次であるもの：セールス] と [メールアドレスが次で始まるもの：'western_region']というルールに [次のすべて] を選択すると、西部地域のセールススタッフだけにこのグループのメンバーシップが付与されます。その他の地域のセールススタッフにメンバーシップは付与されません。


88 VMware, Inc.

8 グループに 1 つ以上のルールを構成します。ルールはネストできます。


属性最初の列のドロップダウンメニューから、いずれかの属性を選択します。[グループ]を選択すると、作成するグループに既存のグループを追加できます。その他の種類の

属性を追加して、グループ内のどのユーザーを、作成するグループのメンバーにする

かを管理できます。

属性ルール選択した属性に応じて次のルールを使用できます。

n このグループに関連付けるグループまたはディレクトリを選択する場合は、[次であるもの] を選択します。テキストボックスに名前を入力します。入力すると、選択可能なグループまたはディレクトリのリストが表示されます。

n 除外するグループまたはディレクトリを選択する場合は、[次ではないもの] を選択します。テキストボックスに名前を入力します。入力すると、選択可能なグループまたはディレクトリのリストが表示されます。

n 入力した条件と完全に一致するエントリにグループメンバーシップを付与する場合は、[次と一致するもの] を選択します。たとえば、代表電話番号を共有する出張担当部署があるとします。その電話番号を共有するすべての従業員に対して旅

行予約アプリケーションへのアクセス権を付与する場合は、「電話番号が次と一

致するもの：(555) 555-1000」などのルールを作成します。n 入力した条件に一致するディレクトリサーバエントリを除いてグループメンバー

シップを付与する場合は、[次と一致しないもの] を選択します。たとえば、いずれかの部署で代表電話番号を共有している場合に、その部署でソーシャルネットワーキングアプリケーションにアクセスできないようにするには、「電話番号が次と一致しないもの：(555) 555-2000」などのルールを作成します。

n 入力した条件で始まるディレクトリサーバエントリにグループメンバーシップを付与する場合は、[次で始まるもの] を選択します。たとえば、組織のメールアドレスが [email protected] のように部署名から始まるとします。セールススタッフ全員にアプリケーションへのアクセス権を付与する場合は、「メールアドレスが次で始まるもの：sales_」などのルールを作成できます。

n 入力した条件で始まるディレクトリサーバエントリを除いてグループメンバーシップを付与する場合は、[次で始まらないもの] を選択します。たとえば、人事部のメールアドレスが [email protected] という形式である場合は、「メールアドレスが次で始まらないもの：hr_」などのルールを設定すれば、人事部からのアプリケーションへのアクセスを拒否できます。この場合、それ以

外のメールアドレスを使用するディレクトリサーバエントリからは、アプリケーションにアクセスできます。

[任意] または [すべて] の属性の使用（オプション）[任意] または [すべて] の属性をグループルールの一部に含めるには、最後にこのルールを追加します。

n [任意] を選択すると、このルールでグループメンバーシップのいずれかの条件が満たされた場合にグループメンバーシップが付与されます。[任意] を使用するとルールをネストできます。たとえば、「グループが次であるもの：セールス」と

「グループが次であるもの：カリフォルニア」の両方を指定するルールを作成で

きます。「グループが次であるもの：カリフォルニア」の場合に [次のいずれか]を選択して、「電話番号が次で始まるもの：415」、「電話番号が次で始まるもの：510」を指定します。グループメンバーは、カリフォルニアセールススタッフに所属し、電話番号が 415 または 510 のいずれかで始まる必要があります。

n [すべて] を選択すると、このルールですべての条件が満たされた場合にグループメンバーシップが付与されます。ここではルールをネストする方法を説明しま

す。たとえば、「グループが次であるもの：マネージャ」と「グループが次であ

るもの：カスタマサービス」のいずれかを指定するルールを作成します。「グループが次であるもの：カスタマサービス」の場合に、[次のすべて] を選択して、「メールアドレスが次で始まるもの：cs_」、「電話番号が次で始まるもの：555」を指定します。この場合、グループメンバーは、マネージャまたはカスタマサービス担当者のいずれかで、かつカスタマサービス担当者の場合はメールアドレスが「cs_」で始まり、電話番号が「555」で始まるものに限定されます。

9 （オプション）特定のユーザーを除外するには、テキストボックスにユーザー名を入力し、[ユーザーを除外] をクリックします。

10 [次へ] をクリックし、グループの情報を確認します。[グループを作成] をクリックします。


VMware, Inc. 89

次に進む前に

グループに使用資格が付与されているリソースを追加します。

グループルールを編集グループルールを編集して、グループ名の変更、ユーザーの追加および削除、およびグループルールの変更を実行できます。

手順

1 管理コンソールで、[ユーザーとグループ] - [グループ] をクリックします。

2 編集するグループ名をクリックします。

3 [グループのユーザーを編集] をクリックします。

4 ページ内をクリックして、名前、グループ内のユーザー、およびルールを変更します。


グループへのリソースの追加

ユーザーにリソースの使用資格を付与する最も効果的な方法は、グループに使用資格を追加することです。グループのすべてのメンバーが、グループに対して使用資格が付与されたアプリケーションにアクセスできるようになります。

開始する前に

アプリケーションが [カタログ] ページに追加されていること。

手順

1 管理コンソールで、[ユーザーとグループ] - [グループ] をクリックします。

ページにグループのリストが表示されます。。

2 グループにリソースを追加するには、グループ名をクリックします。

3 [アプリ] タブをクリックし、[資格を追加] をクリックします。

4 使用資格を付与するアプリケーションの種類をドロップダウンメニューから選択します。

ドロップダウンに表示されるアプリケーションの種類は、カタログに追加されたアプリケーションの種類に基づきま

す。

5 グループに対して使用資格を付与するアプリケーションを選択します。特定のアプリケーションを選択するか、[アプリケーション] の横にあるチェックボックスを選択して、表示されているすべてのアプリケーションを選択できます。

アプリケーションの使用資格がすでにグループに対して付与されている場合は、アプリケーションは表示されません。


アプリケーションは [アプリ] ページに表示され、グループのユーザーに対してすぐにリソースの使用資格が付与されます。


90 VMware, Inc.

ローカルユーザーの作成VMware Identity Manager サービスにローカルユーザーを作成して、エンタープライズディレクトリにプロビジョニングされていないユーザーを追加および管理できます。異なる複数のローカルディレクトリを作成し、各ディレクトリの属性マッピングをカスタマイズできます。

ディレクトリを作成して属性を選択し、そのローカルディレクトリ用のカスタム属性を作成します。必須のユーザー属性である userName、lastName、firstName、および email は、[ID とアクセス管理] > [ユーザー属性] ページでグローバルレベルで指定します。ローカルディレクトリのユーザー属性リストでは、その他の必須の属性を選択してカスタム属性を作成し、異なるローカルディレクトリごとにカスタムの属性セットを作成できます。『VMware Identity Managerのインストールと構成ガイド』のローカルディレクトリの使用に関する説明を参照してください。

ユーザーに対して、アプリケーションへのアクセスは許可するが、エンタープライズディレクトリには追加しない場合は、ローカルユーザーを作成します。

n エンタープライズディレクトリに含まれない特定の種類のユーザーに対してローカルディレクトリを作成できます。たとえば、通常、パートナーはエンタープライズディレクトリに含まれませんが、パートナー向けにローカルディレクトリを作成し、必要な特定のアプリケーションだけに対してアクセス権を付与できます。

n 異なるユーザーセットに対して、異なるユーザー属性または認証方法を使用する場合は、複数のローカルディレクトリを作成できます。たとえば、地域および市場規模というラベルのユーザー属性を持つディストリビュータ向けの

ローカルディレクトリを作成できます。製品カテゴリというラベルのユーザー属性を持つサプライヤ向けの別のローカルディレクトリを作成します。

ローカルユーザーがエンタープライズ Web サイトにログインするために使用する認証方法を構成します。ローカルユーザーのパスワードには、パスワードポリシーが適用されます。パスワード制限とパスワード管理ルールを定義できます。

ユーザーをプロビジョニングすると、ログインしてアカウントを有効にする方法に関する情報が記載された E メールメッセージが送信されます。ユーザーはログインの際にパスワードを指定し、その後、アカウントが有効になります。

ローカルユーザーの追加一度に 1 人のユーザーを作成します。ユーザーを追加する場合、ローカルユーザーの属性で構成された使用するローカルディレクトリと、ユーザーがログインするドメインを選択します。

ユーザー情報の追加に加え、ユーザーロールまたは管理者ロールを選択します。管理者ロールでは、ユーザーは管理コンソールにアクセスして VMware Identity Manager サービスを管理できます。

開始する前に

n ローカルディレクトリが作成されていること

n ローカルユーザー用のドメインが指定されていること

n ローカルディレクトリの [ユーザー属性] ページで、必要なユーザー属性が選択されていること

n パスワードポリシーが構成されていること

n 新しく作成されたローカルユーザーに E メール通知を送信するための SMTP サーバが [アプライアンス設定] タブで構成されていること

手順

1 管理コンソールの [ユーザーとグループ] タブで、[ユーザーを追加] をクリックします。

2 [ユーザーを追加] ページで、このユーザーのローカルディレクトリを選択します。

ページが展開され、構成するユーザー属性が表示されます。

3 このユーザーが割り当てられているドメインを選択し、必要なユーザー情報をすべて入力します。

4 このユーザーのロールが管理者である場合、[ユーザー] テキストボックスで [管理] を選択します。


VMware, Inc. 91


ローカルユーザーが作成されます。ログインしてアカウントを有効にし、パスワードを指定するよう求める E メールがユーザーに送信されます。E メールに含まれるリンクの有効期限は、[パスワードポリシー] ページで設定された値に従います。デフォルトは 7 日間です。リンクの有効期限が切れた場合、[パスワードをリセット] をクリックすると E メール通知が再送信されます。

構成済みのグループ属性ルールに基づいて、既存のグループにユーザーが追加されます。

次に進む前に

ローカルユーザーアカウントのプロファイルを確認し、ユーザーをグループに追加し、ユーザーにリソースの使用資格を付与します。

特定のアクセスポリシーによって管理されるリソースの使用資格が付与されている管理者ユーザーをシステムディレクトリで作成した場合、アプリケーションポリシールールに、フォールバック認証方法としてパスワード（ローカルディレクトリ）が含まれることを確認します。パスワード（ローカルディレクトリ）が構成されていないと、管理者はアプリケーションにログインできません。

ローカルユーザーを無効または有効にするローカルユーザーを無効にすると、ローカルユーザーを削除することなく、ポータルや資格が付与されていたリソースへのログインおよびアクセスを防止できます。

手順


2 [ユーザー] ページで、ユーザーを選択します。

[ユーザープロファイル] ページが表示されます。

3 ローカルユーザーのステータスに応じて、次のいずれかの操作を実行します。

a アカウントを無効にするには、[有効] チェックボックスの選択を解除します。

b アカウントを有効にするには、[有効] を選択します。

無効にされたユーザーは、それまで資格が付与されていたポータルまたはリソースにログインできなくなります。ローカ

ルユーザーを無効にしたときに、そのユーザーが資格付与されたリソースにアクセスしていた場合、そのセッションがタイムアウトになるまでは引き続きリソースにアクセスできます。

ローカルユーザーの削除ローカルユーザーを削除できます。

手順


2 削除するユーザーを選択します。

[ユーザープロファイル] ページが表示されます。

3 [ユーザーを削除] をクリックします。

4 確認メッセージで、[OK] をクリックします。

[ユーザー] リストからユーザーが削除されます。

削除されたユーザーは、それまで資格が付与されていたポータルまたはリソースにログインできなくなります。


92 VMware, Inc.

パスワードの管理

パスワードポリシーを作成し、ローカルユーザーのパスワードを管理できます。ローカルユーザーはパスワードポリシーのルールに従ってパスワードを変更できます。

ローカルユーザーは、ドロップダウンメニューの [アカウントの選択] で名前を指定して Workspace ONE ポータルでパスワードを変更できます。

ローカルユーザーのパスワードポリシーの構成ローカルユーザーのパスワードポリシーは、ローカルユーザーパスワードの形式と有効期限に関する一連のルールと制限です。パスワードポリシーは、VMware Identity Manager 管理コンソールで作成したローカルユーザーに対してのみ適用されます。

パスワードポリシーには、パスワード制限、パスワードの最長有効期間、また、パスワードをリセットするための、一時パスワードの最長有効期間を含めることができます。

デフォルトのパスワードポリシーでは 6 文字必要です。パスワード制限では、大文字、小文字、数字、特殊文字を組み合わせて強力なパスワードを設定するように指定できます。

手順

1 管理コンソールで、[ユーザーとグループ] - [設定]を選択します。

2 [パスワードポリシー] をクリックして、パスワード制限のパラメータを編集します。


パスワードの最小長最小 6 文字ですが、それより多い文字数を要求することもできます。最小長は、アルファベット、数字、および特殊文字の最小要件を組み合わせた文字数以上であること

が必要です。

小文字小文字の最小文字数。小文字の a ～ z を使用できます。

大文字大文字の最小文字数。大文字の A ～ Z を使用できます。

数字 (0～9) 数字の最小文字数。10 進法の 0 ～ 9 を使用できます。

特殊文字英数字以外の文字の最小文字数。&、#、%、$、! などを使用できます。

連続する同一文字隣接する同一文字の最大文字数。たとえば、1 と入力した場合、パスワードを「p@s$word」にすることはできますが、「p@$$word」にすることはできません。

パスワードの履歴選択できない以前のパスワード数。たとえば、ユーザーが最後に使用した 6 つのパスワードをどれも再使用できない場合は、6 と入力します。この機能を無効にするには、値を 0 に設定します。

3 [パスワード管理] セクションで、パスワードの有効期間のパラメータを編集します。


一時パスワードの有効期間パスワードをリセットするリンクまたはパスワードを忘れた場合のリンクの有効時間。

デフォルトは 168 時間です。

パスワードの有効期間ユーザーによる変更が必要になるまでパスワードが存続できる最大日数。

パスワードリマインダパスワードの有効期限が切れる何日前にパスワード有効期限通知を送信するかの日数。

パスワードリマインダ通知の頻度最初にパスワードの有効期限の通知を送信した後にリマインダを送信する頻度。

パスワードの有効期間ポリシーを設定するには、各項目に値を指定する必要があります。ポリシーオプションを設定しない場合は 0 を入力します。



VMware, Inc. 93


94 VMware, Inc.

カタログの管理 10カタログは、ユーザーに使用資格を付与できるすべてのリソースのリポジトリです。アプリケーションは [カタログ] タブからカタログに直接追加できます。カタログに追加されたアプリケーションを確認するには、管理コンソールの [カタログ] タブをクリックします。

[カタログ] ページで次のタスクを実行できます。

n 新規リソースをカタログに追加する。

n 現在ユーザーに使用資格を付与できるリソースを表示する。

n カタログ内の各リソースについての情報にアクセスする。

Web アプリケーションは [カタログ] ページからユーザーにカタログに直接追加できます。

他のリソースタイプでは、管理コンソール以外での操作が必要になります。リソースのセットアップについては、VMware Identity Managerを参照してください。

リソースリソースをカタログに表示する方法

Web アプリケーション管理コンソールの [カタログ] ページで、[Web アプリケーション] のアプリケーションタイプを選択します。

ThinApp パッケージとしてキャプチャされた仮想

Windows アプリケーション

管理コンソールの [パッケージアプリケーション - ThinApp] ページで、ThinApp パッケージをカタログと同期します。管理コンソールの [カタログ] ページで、[ThinApp パッケージ] のアプリケーションタイプを選択します。

View デスクトッププール管理コンソールの [View プール] ページで View プールをカタログと同期します。管理コンソールの [カタログ] ページで、[View デスクトッププール] のアプリケーションタイプを選択します。

View でホストされているアプリケーション

管理コンソールの [View プール] ページで View がホストするアプリケーションとカタログを同期します。管理コンソールの [カタログ] ページで、[View Hosted アプリケーション] のアプリケーションタイプを選択します。

Citrix ベースアプリケーション

管理コンソールの [公開アプリケーション - Citrix] ページで、Citrix ベースアプリケーションをカタログと同期します。管理コンソールの [カタログ] ページで、[Citrix 公開アプリケーション] のアプリケーションタイプを選択します。


n カタログでのリソースの管理 (P. 95)

n カテゴリへのリソースのグループ化 (P. 99)

n カタログ設定の管理 (P. 100)

カタログでのリソースの管理特定のリソースの使用資格をユーザーに付与できるようにするには、そのリソースをカタログに格納する必要があります。

リソースをカタログに格納する場合に使用する方法は、リソースのタイプによって異なります。

VMware, Inc. 95

ユーザーへの資格付与と配布のためにカタログ内で定義できるリソースタイプは、Web アプリケーション、VMwareThinApp パッケージとしてキャプチャされる Windows アプリケーション、Horizon View デスクトッププールおよびView Hosted アプリケーション、または Citrix ベースアプリケーションです。

View デスクトッププールおよびアプリケーションプール、Citrix 公開リソース、または ThinApp パッケージアプリケーションを統合して有効にするには、[カタログ] タブの [Manage Desktop アプリケーション] メニューを使用します。

これらのリソースの情報、要件、インストールおよび構成については、VMware Identity Managerを参照してください。

Web アプリケーション管理コンソールの [カタログ] ページで、Web アプリケーションをカタログに直接取り込みます。[カタログ] ページに表示されている Web アプリケーションをクリックすると、そのアプリケーションについての情報が表示されます。表示されたページで Web アプリケーションを構成できます。たとえば、適切な SAML 属性を指定し、VMware Identity Managerとターゲットの Web アプリケーション間にシングルサインオンを構成できます。Web アプリケーションが構成されると、その Web アプリケーションの使用資格をユーザーとグループに付与できるようになります。「Web アプリケーションをカタログに追加する (P. 96)」を参照してください。

Web アプリケーションをカタログに追加する管理コンソールの [カタログ] ページを使用して、カタログに Web アプリケーションを直接追加することができます。

Web アプリケーションをカタログに追加する手順については、『VMware Identity Manager でのリソースのセットアップ』ガイドで「Web アプリケーションへのアクセス」の章を参照してください。

以下では、このようなタイプのリソースをカタログに追加する場合の手順の概要を示します。

手順

1 管理コンソールで、[カタログ] タブをクリックします。

2 [+ アプリケーションを追加] をクリックします。


96 VMware, Inc.

3 リソースタイプ、およびアプリケーションの場所に応じてオプションをクリックします。

リンク名

リソースタイプ説明

[Web アプリケーション ...クラウドアプリケーションカタログより]

Web アプリケーション

VMware Identity Manager では、クラウドアプリケーションカタログで使用できるデフォルトの Web アプリケーションにアクセスできます。それらはカタログにリソースとして追加できます。

[Web アプリケーション ...新規作成]


適切なフォームに入力することで、リソースとしてカタログに追加する Web アプリケーションのアプリケーションレコードを作成できます。

[Web アプリケーション ...ZIP または JAR ファイルをインポート]


前にユーザーが構成した Web アプリケーションをインポートできます。この方法は、ステージング環境から本番環境に環境を展開する際に使用することをお勧めします。

そのような場合は、ステージング環境から ZIP ファイルで Web アプリケーションをエクスポートします。それからその ZIP ファイルを本番環境にインポートします。

4 画面の指示に従ってカタログへのリソースの追加を完了します。

Web アプリケーションのカタログへの追加

Web アプリケーションをカタログに追加すると、その Web アプリケーションを間接的に参照するエントリが作成されます。このエントリは Web アプリケーションの URL を含むフォームで、アプリケーションレコードによって定義されます。

手順


2 [アプリケーションを追加] - [Web アプリケーション ...クラウドアプリケーションカタログから] をクリックします。

3 追加する Web アプリケーションのアイコンをクリックします。

アプリケーションレコードがカタログに追加され、すでに指定されている名前および認証プロファイルとともに [詳細] ページが表示されます。

4 (オプション) 組織のニーズに合わせて [詳細] ページで情報をカスタマイズします。

ページ上の項目には、Web アプリケーションに固有の情報が含まれています。

アプリケーションによっては、項目の一部を編集できます。


[名前] アプリケーションの名前です。

[説明] ユーザーに提示するアプリケーションの説明です。

[アイコン] [参照] をクリックしてアプリケーションのアイコンをアップロードします。PNG、JPG、および ICON ファイル形式で最大 4 MB のアイコンがサポートされます。アップロードされたアイコンは 80px x 80px にサイズ変更されます。イメージの歪みを防ぐには、高さと幅を等しくし、できる限り 80px x 80px の寸法に近いアイコンをアップロードします。

[カテゴリ] カタログリソースのカテゴリ検索でアプリケーションを表示させるには、ドロップダウンメニューからカテゴリを選択します。カテゴリは以前の作業で作成されているはずです。


6 [構成] をクリックし、アプリケーションレコードの構成内容を編集して、[保存] をクリックします。

フォーム内の一部の項目には、Web アプリケーションに固有の情報があらかじめ含まれています。あらかじめ含まれている項目の一部は編集可能ですが、それ以外は編集できません。必要な情報は、アプリケーションによって異な

ります。

一部のアプリケーションでは、フォームにアプリケーションパラメータのセクションがあります。このセクションが存在するアプリケーションにおいて、セクション内のパラメータにデフォルト値がない場合は、アプリケーション

が起動できるように値を指定します。デフォルト値が指定されている場合は、その値を編集できます。

第 10 章カタログの管理

VMware, Inc. 97

7 [資格]、[ライセンス]、[プロビジョニング] のタブを選択し、必要に応じて情報をカスタマイズします。

タブ説明

[資格] アプリケーションの使用資格をユーザーおよびグループに付与します。資格の構成は、最初にアプリケーションを構

成する際、またはそれ以降にいつでも行えます。

[アクセスポリシー]

アクセスポリシーを適用して、アプリケーションへのユーザーアクセスを制御します。

[ライセンス] 承認の追跡を構成します。アプリケーションのライセンス情報を追加して、レポートでライセンスの使用状況を追跡

します。承認は、[カタログ] > [設定] ページで有効にして構成する必要があります。承認要求ハンドラのコールバック URI も登録する必要があります。

[プロビジョニング]

Web アプリケーションをプロビジョニングして VMware Identity Manager サービスから特定の情報を取得します。Web アプリケーションでプロビジョニングが構成されている場合、アプリケーションの使用資格をユーザーに付与すると、その Web アプリケーションでユーザーのプロビジョニングが行われます。現在、プロビジョニングアダプタは Google Apps および Office 365 で利用できます。これらのアプリケーションの構成についての操作手順については、https://www.vmware.com/support/pubs/vidm_webapp_sso.html にある『VMware IdentityManager の統合』ドキュメントを参照してください。

View デスクトップと View Hosted アプリケーションの追加View デスクトッププールと View Hosted アプリケーションをカタログに取り込み、VMware Identity Manager 展開環境に Horizon View を統合します。

[カタログ] > [Manage Desktop アプリケーション] メニューから [View アプリケーション] をクリックすると、[Viewプール] ページにリダイレクトされます。[View プールを有効化] をオンにして、View ポッドを追加し、View のディレクトリ同期を実行し、View リソースの資格をユーザーに拡張するためにサービスで使用する展開の種類を構成します。

これらのタスクを実行すると、Horizon View でユーザーに使用資格を付与した View デスクトップと View Hosted アプリケーションは、カタログでリソースとして利用できるようになります。

いつでもこのページに戻って、View 構成の変更や、View ポッドの追加/削除を行えます。

View と VMware Identity Manager の統合の詳細については、『Providing Access to View Desktops in the SettingUp Resource guide』を参照してください。

Citrix 公開アプリケーションの追加VMware Identity Manager を使用して、既存の Citrix 展開環境と統合し、Citrix ベースのアプリケーションをカタログに取り込むことができます。

[カタログ] > [Manage Desktop アプリケーション] メニューから [Citrix 公開アプリケーション] をクリックすると、[公開アプリケーション - Citrix] ページにリダイレクトされます。[Citrix ベースアプリケーションの有効化] をオンにして、VMware Identity Manager と Citrix サーバファームとの間の通信を確立し、同期頻度をスケジュール設定します。

Citrix 公開アプリケーションと VMware Identity Manager の統合の詳細については、『Providing Access to Citrix-Published Resources in the Setting Up Resources guide』を参照してください。

ThinApp アプリケーションの追加VMware Identity Manager により、ThinApp パッケージの配布と管理を一元化できます。ThinApp パッケージを格納するリポジトリの場所を認識し、パッケージと VMware Identity Manager を同期するよう VMware Identity Managerを構成する必要があります。

次のタスクを実行することで、ThinApp パッケージとしてキャプチャされた Windows アプリケーションをカタログに格納します。

1 ユーザーがアクセスする ThinApp パッケージがまだ存在しない場合は、VMware Identity Manager と互換性のある ThinApp パッケージを作成します。VMware ThinApp に関するドキュメントを参照してください。

2 ネットワーク共有を作成し、互換性のある ThinApp パッケージをそこに格納します。


98 VMware, Inc.

https://www.vmware.com/support/pubs/vidm_webapp_sso.html

3 ネットワーク共有上のパッケージと統合するように、VMware Identity Manager を構成します。

[カタログ] > [Manage Desktop アプリケーション] メニューから [ThinApp アプリケーション] をクリックすると、[パッケージアプリケーション - ThinApp] ページにリダイレクトされます。 [パッケージアプリケーションを有効にする] をオンにします。ThinApp リポジトリの場所を入力し、同期の頻度を構成します。

これらのタスクを実行すると、ネットワーク共有に追加した ThinApp パッケージがリソースとしてカタログで利用できるようになります。

ThinApp パッケージを配布および管理するよう VMware Identity Manager を構成する方法の詳細については、『Providing Access to VMware ThinApp Packages in the Setting Up Resources guide』を参照してください。

カテゴリへのリソースのグループ化

Workspace ONE ポータルワークスペースで必要なリソースをユーザーが簡単に突き止めることができるように、リソースを論理的なカテゴリに編成できます。

カテゴリを作成するときには、組織の構造、リソースのジョブ機能、リソースのタイプについて考慮します。リソースに

は複数のカテゴリを割り当てることができます。たとえば、テキストエディタというカテゴリと、推奨リソースという別のカテゴリを作成することができます。カタログにあるすべてのテキストエディタリソースにテキストエディタを割り当てます。また、ユーザーに優先的に使用してもらう特定のテキストエディタリソースについては推奨リソースも割り当てます。

リソースカテゴリの作成リソースカテゴリは、作成した後すぐには適用しないでおくことも、作成とリソースへの適用を同時に行うことも可能です。

手順


2 カテゴリの作成と適用を同時に行うには、新しいカテゴリの適用先となるアプリケーションのチェックボックスをオンにします。

3 [カテゴリ] をクリックします。

4 テキストボックスに新しいカテゴリ名を入力します。

5 [カテゴリの追加...] をクリックします。

新しいカテゴリが作成されますが、リソースには適用されません。

6 選択したリソースにカテゴリを適用するには、新しいカテゴリ名のチェックボックスをオンにします。

カテゴリがアプリケーションに追加され、[カテゴリ] 列に表示されます。

次に進む前に

カテゴリを別のアプリケーションに適用します。「リソースへのカテゴリの適用 (P. 99)」を参照してください。

リソースへのカテゴリの適用

カテゴリを作成した後、そのカテゴリをカタログ内の任意のリソースに適用できます。同じリソースに複数のカテゴリを

適用できます。

開始する前に

カテゴリを作成します。

手順



VMware, Inc. 99

2 このカテゴリを適用するすべてのアプリケーションのチェックボックスをオンにします。

3 [カテゴリ] をクリックし、適用するカテゴリの名前を選択します。

選択したアプリケーションにそのカテゴリが適用されます。

カテゴリをアプリケーションから削除する

アプリケーションからカタログを切り離すことができます。

手順


2 カテゴリを削除するアプリケーションのチェックボックスをオンにします。


アプリケーションに適用されるカテゴリがチェックされます。

4 アプリケーションから削除するカテゴリのチェックを解除して、メニューボックスを閉じます。

アプリケーションのカテゴリリストからカテゴリが削除されます。

カテゴリを削除する

カタログからカテゴリを永久に削除することができます。

手順



3 削除するカテゴリの上にカーソルを合わせます。「x」が表示されます。[x] をクリックします。

4 [OK] をクリックして、カテゴリを削除します。

このカテゴリは、[カテゴリ] ドロップダウンメニューに表示されなくなり、これまでの適用先であるアプリケーションのどれにもラベルとして表示されなくなります。

カタログ設定の管理

[カタログ設定] ページを使用して、カタログでのリソース管理、SAML 証明書のダウンロード、ユーザーポータルのカスタマイズ、グローバル設定を行えます。

SAML 証明書をダウンロードして証明書利用者アプリケーションで構成するWeb アプリケーションを構成するときには、組織の SAML 署名証明書をコピーし、証明書利用者アプリケーションに送信して、サービスからのユーザーログインを承認できるようにする必要があります。SAML 証明書は、WebEx や GoogleApps などの証明書利用者アプリケーションへのサービスからのユーザーログインを承認するために使用されます。

SAML 署名証明書と SAML サービスプロバイダのメタデータをサービスからコピーして、サードパーティ ID プロバイダの SAML アサーションを編集して、VMware Identity Manager ユーザーにマッピングします。

手順

1 管理コンソールにログインします。

2 [カタログ] タブで、[設定] - [SAML メタデータ] を選択します。


100 VMware, Inc.

3 表示される SAML 署名証明書をコピーして保存します。

a [署名証明書] セクションにある、証明書情報をコピーします。

b 後でサードパーティの ID プロバイダインスタンスを構成する際に使用するために、証明書情報をテキストファイルに保存します。

4 SAML SP メタデータをサードパーティの ID プロバイダインスタンスが使用できるようにします。

a [SAML 証明書をダウンロード] ページで、[サービスプロバイダ（SP）メタデータ] をクリックします。

b それぞれの組織に最も適した方法を使用して、表示された情報をコピーして保存します。

ここでコピーされた情報は、後でサードパーティの ID プロバイダを構成する際に使用します。

5 サードパーティ ID プロバイダインスタンスから VMware Identity Manager へのユーザーマッピングを確認します。

サードパーティ ID プロバイダを構成するときには、サードパーティ ID プロバイダ内の SAML アサーションを編集して VMware Identity Manager ユーザーをマップします。

NameID の形式ユーザーマッピング

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

SAML アサーション内の NameID 値は、VMware Identity Manager 内のメールアドレス属性にマップされます。

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

SAML アサーション内の NameID 値は、VMware Identity Manager 内のユーザー名属性にマップされます。

次に進む前に

このタスクのためにコピーした情報を適用して、サードパーティの ID プロバイダインスタンスを構成します。

ヘルパーアプリケーションのダウンロード要求を無効にするView デスクトップ、Citrix 公開アプリ、および ThinApp リソースでは、ユーザーのコンピュータまたはデバイスで次のヘルパーアプリケーションのインストールを必要とします。

n View デスクトップでは、Horizon Client を使用します。

n Citrix 公開アプリには、Citrix Receiver が必要です。

n ThinApp リソースでは、デスクトップに VMware Identity Manager が必要です。

ユーザーがこれらのタイプのリソースからアプリケーションを初めて起動する際に、デスクトップまたはデバイスにヘル

パーアプリケーションをダウンロードするよう要求されます。リソースを起動するたびに表示されるこの要求は、[カタログ] > [設定] > [グローバル設定] ページで、完全に表示を無効にできます。

要求表示の無効化は、コンピュータまたはデバイスが管理されており、ヘルパーアプリケーションがユーザーのローカルイメージ上にあることを把握している場合に有効なオプションです。

手順

1 管理者コンソールで、[カタログ] > [設定] を選択します。

2 [グローバル設定] を選択します。

3 ヘルパーアプリケーションの起動を要求しないオペレーティングシステムを選択します。


リモートアプリケーションへのアクセスを有効にするためのクライアントの作成ユーザーが特定のアプリケーションにアクセスできるように、管理コンソールの [カタログ] > [設定] ページで単一のアプリケーションを VMware Identity Manager に登録するための単一のクライアントを作成できます。

SDK は、OAuth ベースの認証を使用して VMware Identity Manager に接続します。管理コンソールでクライアント ID値および clientSecret 値を作成する必要があります。


VMware, Inc. 101

単一のカタログリソースへのリモートアクセスを作成する

ユーザーが特定のアプリケーションにアクセスできるように、単一のアプリケーションを VMware Identity Managerサービスに登録するクライアントを作成できます。

手順

1 管理コンソールの [カタログ] タブで、[設定] - [リモートアプリアクセス] を選択します。

2 [クライアント] ページで [クライアントを作成] をクリックします。

3 [クライアントを作成] ページで、アプリケーションについて次の情報を入力します。

ラベル説明

アクセスの種類オプションは、[ユーザーアクセストークン] と [サービスクライアントトークン] です。

クライアント ID VMware Identity Manager に登録されるリソースの一意のクライアント ID を入力します。

アプリケーション [Identity Manager] を選択します。

範囲適切な範囲を選択します。[NAAPS] を選択すると、[OpenID] も選択されます。

リダイレクト用 URI 登録済みのリダイレクト用 URI を入力します。

詳細セクション

共有シークレット [共有シークレットを生成] をクリックして、このサービスとアプリケーションリソースサービス間で共有されるシークレットを生成します。

アプリケーションセットアップで構成するために、クライアントシークレットをコピーして保存します。

クライアントシークレットは、機密保持する必要があります。展開されたアプリでシークレットを機密保持できない場合、シークレットは使用されません。共有シークレットは、Web ブラウザベースのアプリでは使用されません。

リフレッシュトークンを発行チェックボックスの選択を解除します。

トークン型 [ベアラー] を選択します。

トークン長デフォルト設定（32 バイト）のままにします。

リフレッシュトークンを発行 [リフレッシュトークン] をオンにします。

アクセストークン TTL （オプション）[アクセストークンの有効時間] 設定を変更します。

リフレッシュトークン TTL （オプション）

ユーザーの許可 [ユーザーにアクセス権を要求] はオンにしません。


生成された共有シークレットとともに、クライアント構成が [OAuth2 クライアント] ページに表示されます。

次に進む前に

リソース構成のページで、クライアント ID と共有シークレットを入力します。アプリケーションのドキュメントを参照してください。

リモートアクセステンプレートを作成する

ユーザーが特定のアプリケーションにアクセスできるように、クライアントグループを VMware Identity Manager サービスに動的に登録するテンプレートを作成できます。

手順

1 管理コンソールの [カタログ] タブで、[設定] - [リモートアプリアクセス] を選択します。

2 [テンプレート] をクリックします。


102 VMware, Inc.

3 [テンプレートを作成] をクリックします。

4 [テンプレートを作成] ページで、アプリケーションについて次の情報を入力します。

ラベル説明

テンプレート ID このリソースの固有 ID を入力します。

アプリケーション [Identity Manager] を選択します。

範囲適切な範囲を選択します。[NAAPS] を選択すると、[OpenID] も選択されます。

リダイレクト用 URI 登録済みのリダイレクト用 URI を入力します。

詳細セクション

トークン型 [ベアラー] を選択します。

トークン長デフォルト設定（32 バイト）のままにします。

リフレッシュトークンを発行 [リフレッシュトークン] をオンにします。

アクセストークン TTL （オプション）

リフレッシュトークン TTL （オプション）

ユーザーの許可 [ユーザーにアクセス権を要求] はオンにしません。


次に進む前に

リソースのアプリケーションで、統合認証をサポートするサイトとして VMware Identity Manager サービスの URL をセットアップします。

Citrix 公開アプリケーションでの ICA プロパティの編集VMware Identity Manager 展開環境にある個々の Citrix 公開アプリケーションおよびデスクトップの設定は、[カタログ] > [設定] > [Citrix 公開アプリケーション] ページで編集できます。

[ICA 構成] ページは、アプリケーションごとに構成されます。個々のアプリケーションの ICA プロパティテキストボックスは、手動でプロパティを追加するまで空です。個々の Citrix 公開リソースのアプリケーション配信設定（ICA プロパティ）を編集した場合、それらの設定はグローバル設定よりも優先されます。

[NetScaler 構成] ページでは、ユーザーが Citrix ベースのアプリケーションを起動するときに、そのトラフィックがNetScaler を経由して XenApp サーバにルーティングされるように、適切な設定でサービスを構成できます。

[Citrix 公開アプリケーション] > [NetScaler ICA 構成] タブで ICA プロパティを編集すると、その設定は、NetScaler 経由でルーティングされるアプリケーション起動トラフィックに適用されます。

ICA プロパティの構成の詳細については、ドキュメントセンターで、「NetScaler の構成」というトピックや、「単一のCitrix 公開リソース向けの VMware Identity Manager アプリケーションの配布設定の編集」というトピックを参照してください。

ThinApp アラートの確認[カタログ] の [設定] メニューで [ThinApp アプリケーションアラート] を選択すると、[パッケージアプリケーションアラート] ページにリダイレクトされます。

ThinApp パッケージが VMware Identity Manager と同期したときに発生したすべてのエラーがこのページに表示されます。


VMware, Inc. 103

リソース使用のアプリケーション承認の有効化

組織の承認が必要なアプリケーションの使用を可能にするために、アプリケーションへのアクセス権限を管理できます。

[カタログ設定] ページで承認を有効にし、承認要求を受け取る URL を設定します。

承認が必要なアプリケーションをカタログに追加する場合、[ライセンス] オプションを有効にします。ライセンスオプションが設定されると、ユーザーは Workspace ONE カタログでアプリケーションを表示し、アプリケーションの使用を要求します。

VMware Identity Manager は、組織の設定した承認用 URL に承認要求メッセージを送信します。サーバのワークフロープロセスによって要求が確認され、承認または拒否のメッセージが返されます。設定の手順については、VMware IdentityManager のガイドの「アプリケーション承認の管理」を参照してください。

VMware Identity Manager のリソース使用状況およびリソース資格レポートを表示して、使用している承認済みアプリケーションの数を確認することができます。

承認ワークフローのセットアップと承認エンジンの構成

2 つのタイプの承認ワークフローオプションを選択できます。コールアウト REST URI を登録して、アプリケーション管理システムを VMware Identity Manager と統合することも、VMware Identity Manager コネクタを介して統合することもできます。

開始する前に

REST API の構成時に、アプリケーション管理システムを構成し、VMware Identity Manager から要求を受け取るコールアウト REST API を使用して URI を使用できるようにする必要があります。

承認ワークフローシステムがオンプレミスのデータセンターにある場合、コネクタを介して REST API を構成します。コネクタが VMware Identity Manager クラウドサービスからオンプレミスの承認アプリケーションへの承認要求メッセージをルーティングして、応答メッセージを受信できるようにします。

手順

1 管理コンソールの [カタログ] タブで、[設定] - [承認] の順に選択します。

2 [承認の有効化] を確認します。

3 [承認エンジン] ドロップダウンメニューで、使用する REST API 承認エンジンに、Web サーバー経由の REST APIか、コネクタ経由の REST API のいずれかを選択します。

4 次のテキストボックスを構成します。


URI コールアウト要求を待機する REST API の承認リクエストハンドラ URI を入力します。

ユーザー名（オプション）REST API にアクセスするためのユーザー名とパスワードが必要な場合は、ここで名前を入力します。認証が必要ない場合、ユーザー名とパスワードは空白

のままにしておきます。


104 VMware, Inc.


パスワード（オプション）ユーザーのパスワードを入力します。

PEM 形式の SSL 証明書（オプション）選択した REST API が SSL を使用しており、REST API のサーバにパブリック SSL 証明書がない場合は、ここに PEM 形式の REST API SSL 証明書を貼り付けます。

次に進む前に

[カタログ] ページに移動し、使用する前にユーザーの承認が必要なアプリケーションに対して、ライセンス機能を構成します。


VMware, Inc. 105


106 VMware, Inc.

管理コンソールのダッシュボードでの作業 11管理コンソールでは 2 つのダッシュボードを利用できます。ユーザーエンゲージメントダッシュボードは、ユーザーとリソース使用率の監視に使用できます。システム診断ダッシュボードは、VMware Identity Manager サービスの健全性の監視に使用できます。


n ダッシュボードからユーザーとリソース使用率を監視する (P. 107)

n システム情報および健全性を監視する (P. 108)

n レポートの表示 (P. 108)

ダッシュボードからユーザーとリソース使用率を監視する

[ユーザーエンゲージメント] ダッシュボードには、ユーザーおよびリソースに関する情報が表示されます。サインインしたユーザー、使用中のアプリケーション、およびアプリケーションのアクセス頻度を表示できます。ユーザーとグループ

のアクティビティおよびリソース使用状況を追跡するレポートを作成できます。

[ユーザーエンゲージメント] ダッシュボードに表示される時刻は、ブラウザのタイムゾーン設定に基づいています。ダッシュボードは、1 分ごとに更新されます。

手順

n ヘッダーには、その日にログインした一意のユーザー数、および 7 日間の毎日のログインイベント数を示すタイムラインが表示されます。ログインしたユーザーのパーセンテージを表示する、今日のログインユーザー数は円で囲まれます。ログイン推移グラフには、その週のログインイベントが表示されます。グラフのいずれかの点を指すと、その日のログイン数が表示されます。

n [ユーザーとグループ] セクションには、VMware Identity Manager にセットアップされているユーザーアカウントの数およびグループの数が表示されます。ログインした最新のユーザーが最初に表示されます。[全部のレポートを表示] をクリックすると、ある範囲の日数にログインしたユーザーを表示する監査イベントレポートを作成できます。

n [アプリの人気] セクションには、7 日間でアプリが起動された回数を基準にアプリタイプごとにグループ化した棒グラフが表示されます。特定の日を指すと、ツールヒントに使用されたアプリケーションのタイプおよびその日に起動されたアプリケーションの数が表示されます。グラフの下のリストには、特定のアプリケーションが起動された回

数が表示されています。1 日、1 週間、1 か月、または 12 週間のこの情報を表示するように選択するには、右側にあるドロップダウンメニューの矢印を展開します。[全部のレポートを表示] をクリックすると、ある範囲の時間のアプリケーション、リソースタイプおよびユーザーのアクティビティ数を表示するリソース使用状況レポートを作成できます。

n [アプリの導入] セクションには、使用資格のあるアプリケーションを開いたユーザーのパーセンテージを示す棒グラフが表示されます。アプリケーションを指すと、ツールヒントに実際の導入数と資格数が表示されます。

VMware, Inc. 107

n 起動されているアプリケーションの円グラフには、起動されているリソースが全体に占めるパーセンテージが表示さ

れます。この円グラフで特定のセクションを指すと、リソースのタイプ別に実際の数が表示されます。1 日、1 週間、1 か月、または 12 週間のこの情報を表示するように選択するには、右側にあるドロップダウンメニューの矢印を展開します。

n [クライアント] セクションには、使用中の Identity Manager Desktop の数が表示されます。

システム情報および健全性を監視する

VMware Identity Manager の [システム診断] ダッシュボードには、環境に導入されている VMware Identity Managerアプライアンスの健全性の詳細な概要およびサービスに関する情報が表示されます。VMware Identity Manager データベースサーバ、仮想マシン、および各仮想マシンで使用可能なサービス全体の健全性を表示できます。

[システム診断] ダッシュボードでは、インストールされている VMware Identity Manager のバージョンなど、その仮想マシンのサービスのステータスを監視および表示する仮想マシンを選択できます。データベースや仮想マシンに問題があ

る場合は、マシンのステータスが赤色でヘッダーバーに表示されます。問題を表示するでは、赤色で表示されている仮想マシンを選択します。

手順

n ユーザーパスワードの有効期限が切れています。VMware Identity Manager アプライアンスのルートログインパスワードおよびリモートログインパスワードの有効期限日が表示されます。パスワードの有効期限が切れている場合は、[設定] ページに移動して [VA 構成] を選択します。[システムセキュリティ] ページを開いてパスワードを変更します。

n 証明書。証明書の発行者、開始日、および終了日が表示されます。証明書を管理するには、[設定] ページに移動して[VA 構成] を選択します。[証明書のインストール] ページを開きます。

n Configurator - アプリケーション展開ステータス。Appliance Configurator サービスの情報が表示されます。[Webサーバステータス] には、Tomcat サーバが実行中かどうかが表示されます。[Web アプリケーションステータス]には、[Appliance Configurator] ページにアクセスできるかどうかが表示されます。[アプライアンスのバージョン] には、インストールされている VMware Identity Manager アプライアンスのバージョンが表示されます。

n Application Manager - アプリケーション展開ステータス。VMware Identity Manager アプライアンスの接続ステータスが表示されます。

n Connector - アプリケーション展開ステータス。管理コンソールの接続ステータスが表示されます。接続に成功したことが表示されている場合は、管理コンソールページにアクセスできます。

n VMware Identity Manager FQDN。VMware Identity Manager アプリポータルにアクセスするためにユーザーが入力した完全修飾ドメイン名が表示されます。ロードバランサが使用中の場合は、VMware Identity Managerの FQDN はロードバランサを参照します。

n Application Manager - 統合コンポーネント。VMware Identity Manager データベース接続、監査サービス、および接続の分析情報が表示されます。

n Connector - 統合コンポーネント。[Connector サービス管理] ページで管理されているサービスに関する情報が表示されます。ThinApp、View、および Citrix 公開アプリケーションのリソースに関する情報が表示されます。

n モジュール。VMware Identity Manager で有効になっているリソースが表示されます。[有効] をクリックして、そのリソースの [Connector サービス管理] ページに移動します。

レポートの表示

ユーザーとグループのアクティビティおよびリソース使用状況を追跡するレポートを作成できます。管理コンソールの

[ダッシュボード] > [レポート] ページでレポートを表示できます。

レポートはカンマ区切り (csv) ファイル形式でエクスポートできます。


108 VMware, Inc.

表 11‑1. レポートタイプ

レポート説明

最近のアクティビティ最近のアクティビティは、直近の 1 日、1 週間、1 か月、または 12 週の間にユーザーが WorkspaceONE を使用して実行した操作に関するレポートです。アクティビティには、一意のユーザーログインの数、一般ログインの数、リソース情報（起動されたリソースの数、追加されたリソース資格

など）といったユーザー情報が含まれます。[イベントを表示] をクリックすると、アクティビティの日付、時刻、およびユーザーの詳細を表示できます。

リソース使用状況リソース使用状況は、カタログに含まれるすべてのリソースのレポートであり、各リソースについ

てユーザー、起動、ライセンスの数に関する詳細を含みます。直近の 1 日、1 週間、1 か月、または 12 週の間のアクティビティを選択して表示できます。

リソース資格リソース資格は、リソースの使用資格を付与されたユーザーの数、起動回数、および使用されるラ

イセンスの数をリソース別に表示するレポートです。

リソースアクティビティリソースアクティビティレポートは、すべてのユーザーについて作成したり、特定のユーザーグループについて作成したりできます。リソースアクティビティ情報は、ユーザー名、ユーザーに使用資格が付与されたリソース、リソースへの最終アクセス日、およびリソースへのアクセスでユー

ザーが使用したデバイスのタイプに関する情報が表示されます。

グループメンバーシップグループメンバーシップは、指定するグループのメンバーのリストを表示します。

ロール割り当てロール割り当ては、API のみの管理者または管理者とそのメールアドレスのいずれかとなるユーザーのリストを表示します。

ユーザーユーザーレポートでは、すべてのユーザーのリストに加え、各ユーザーについてメールアドレス、ロール、グループ加入などの詳細も示されます。

同時ユーザー同時ユーザーレポートでは、同時に開かれたユーザーセッションの数と日時が表示されます。

デバイス使用状況デバイス使用状況レポートでは、すべてのユーザーまたは特定のユーザーグループのデバイス使用状況が表示されます。デバイス情報はユーザー別に表示され、ユーザー名、デバイス名、オペレー

ティングシステム情報、および最終使用日が含まれます。

監査イベント監査イベントレポートでは、過去 30 日間のユーザーログインなど、指定したユーザーに関係するイベントのリストが示されます。監査イベントの詳細も表示できます。この機能は、トラブルシュー

ティングの際に役立ちます。監査イベントレポートを実行するには、[カタログ] > [設定] > [監査]ページで監査を有効にする必要があります。「監査イベントレポートを生成 (P. 109)」を参照してください。

監査イベントレポートを生成指定した監査イベントのレポートを生成できます。

監査イベントレポートは、トラブルシューティングの方法として役立つことがあります。

開始する前に

監査が有効になっている必要があります。有効になっていることを確認するには、管理コンソールで [カタログ] - [設定]ページに移動して、[監査] を選択します。

手順

1 管理コンソールで、[レポート] - [監査イベント] を選択します。

第 11 章管理コンソールのダッシュボードでの作業

VMware, Inc. 109

2 監査イベントの条件を選択します。

監査イベ

ントの

条件説明

ユーザーこのテキストボックスでは、監査イベントの検索を特定のユーザーによって生成された対象に限定できます。

タイプこのドロップダウンリストでは、監査イベントの検索を特定の監査イベントタイプに限定できます。ドロップダウンリストには、可能性がある監査イベントタイプが必ずしもすべて表示されるわけではありません。リストに表示されるイベントタイプは、自身の展開環境で発生したことがあるイベントタイプだけです。LOGIN、LAUNCH など、すべて大文字で表示されている監査イベントタイプはアクセスイベントであり、これらでデータベースが変更されることはありません。その他の監査イベントタイプはデータベース内に変更をもたらします。

操作このドロップダウンリストでは、検索対象を特定の操作に限定できます。リストには、データベースに特定の変更を加えるイベントが表示されます。[タイプ] ドロップダウンリストでアクセスイベントを選択したら、それは操作イベントではないことを表すため、[操作] ドロップダウンリストで操作を指定しないようにします。

対象このテキストボックスでは、検索対象を特定のオブジェクトに限定できます。オブジェクトとしては、グループ、ユーザー、デバイスなどがあります。オブジェクトは、名前または ID で特定されます。

日付の

範囲

これらテキストボックスでは、「___ 日前から ___ 日前まで」の形式で検索対象を日付範囲で限定できます。最大の日付範囲は 30 日です。たとえば、90 日前から 60 日前は有効な範囲ですが、90 日前から 45 日前は最大範囲の 30 日を超えているので無効な範囲です。

3 [表示] をクリックします。

指定した条件に従って、監査イベントレポートが表示されます。

注意監査サブシステムの再起動時に、監査イベントページにエラーメッセージが表示され、レポートが生成されないことがあります。レポートが生成されないことを示すそのようなエラーメッセージが表示された場合は、数分待ってからやり直します。

4 監査イベントの詳細については、その監査イベントの [詳細の表示] をクリックして参照してください。


110 VMware, Inc.

VMware Identity Manager サービスのカスタムブランディング 12

管理コンソール、ユーザーおよび管理者のログイン画面、Workspace ONE アプリケーションポータルの Web ビュー、モバイルデバイス上の Workspace ONE アプリの Web ビューで表示される、ロゴ、フォント、および背景をカスタマイズできます。

カスタマイズツールを使用して、企業の配色、ロゴ、およびデザインや操作性を変更することができます。

n ブラウザのアドレスタブとログインページは、[ID とアクセス管理] > [セットアップ] > [カスタムブランディング]ページからカスタマイズします。

n ロゴを追加したり、ユーザーの Web ポータル、モバイル、およびタブレットのビューをカスタマイズしたりするには、[カタログ] > [設定] の順に移動し、[ユーザーポータルブランディング] ページから実行します。


n VMware Identity Manager でブランディングをカスタマイズする (P. 111)

n ユーザーポータルのブランディングのカスタマイズ (P. 112)

n VMware Verify アプリケーションのブランディングのカスタマイズ (P. 113)

VMware Identity Manager でブランディングをカスタマイズする管理コンソールおよびユーザーポータルに、会社名、製品名、アドレスバー用のお気に入りアイコンを追加できます。また、ログインページをカスタマイズして、会社の配色やロゴデザインに合うように背景色を設定することもできます。

企業のロゴを追加するには、管理コンソールの [カタログ] > [設定] > [ユーザーポータルブランディング] の順に移動します。

手順

1 管理コンソールの [ID とアクセス管理] タブで、[セットアップ] - [カスタムブランディング] を選択します。

2 必要に応じて、フォーム内の次の設定を編集します。

注意このテーブルに表示されない設定は、現在使用されておらず、カスタマイズできません。

[フォーム] フィールド説明

名前とロゴ

会社名会社名オプションは、デスクトップデバイスとモバイルデバイスの両方に適用されます。ブラウザのタブに表示されるタイトルとして会社名を追加できます。

既存の会社名の上に新しい会社名を入力して、名前を変更します。

製品名製品名オプションは、デスクトップデバイスとモバイルデバイスの両方に適用されます。ブラウザのタブで会社名に続いて製品名が表示されます。

既存の名前の上に製品名を入力して、名前を変更します。

VMware, Inc. 111

[フォーム] フィールド説明

お気に入りアイコンお気に入りアイコンは、ブラウザのアドレスバーに表示される、URL に関連付けられるアイコンです。お気に入りアイコンの最大サイズは 16 × 16 px です。有効なフォーマットは JPEG、PNG、GIF、または ICO です。[アップロード] をクリックし、新しいイメージをアップロードして現在のお気に入りアイコンを置き換えます。変更の確認を求めるメッセージが表示されます。変更は直ちに実行されます。

ログイン画面

ロゴ [アップロード] をクリックし、新しいロゴをアップロードしてログイン画面の現在のロゴを置き換えます。[確認] をクリックすると、直ちに変更が行われます。アップロードするイメージの推奨最小サイズは、350 px（幅）x 100 px（高さ）です。350 x 100 ピクセルより大きいイメージをアップロードすると、イメージは 350 x 100 ピクセルのサイズに合わせて調整されます。有効なフォーマットは JPEG、PNG、または GIF です。

背景の色ログイン画面の背景に表示される色。

既存の色コードの上に 6 桁の 16 進数の色コードを入力して、背景の色を変更します。

ボックスの背景色ログイン画面のボックスの色はカスタマイズできます。

既存の色コードの上に 6 桁の 16 進数の色コードを入力します。

ログインボタンの背景色ログインボタンの色はカスタマイズできます。既存の色コードの上に 6 桁の 16 進数の色コードを入力します。

ログインボタンのテキストの色

ログインボタンに表示されるテキストの色はカスタマイズできます。既存の色コードの上に 6 桁の 16 進数の色コードを入力します。

ログイン画面をカスタマイズするときは、プレビューペインで変更を確認してから、変更を保存できます。


管理コンソールとログインページのカスタムブランディングを更新して [保存] をクリックすると、5 分以内に更新内容が適用されます。

次に進む前に

各種インターフェイスでブランディングの変更の見栄えを確認します。

エンドユーザーの Workspace ONE ポータルと、モバイルおよびタブレットビューの見栄えを更新します。「ユーザーポータルのブランディングのカスタマイズ (P. 112)」を参照してください。

ユーザーポータルのブランディングのカスタマイズロゴの追加、背景色の変更、および画像の追加によって Workspace ONE ポータルをカスタマイズできます。

手順

1 管理コンソールの [カタログ] タブから、[設定] - [ユーザーポータルのブランディング] を選択します。

2 必要に応じて、フォーム内の設定を編集します。


ロゴ管理コンソール、および Workspace ONE ポータルの Web ページの上部に、バナーとして題字のロゴを追加します。

イメージの最大サイズは 220 × 40 px です。有効なフォーマットは JPEG、PNG または GIF です。

ポータル

題字の背景色既存の色コードの上に 6 桁の 16 進数の色コードを入力して、題字の背景色を変更します。新しい色コードを入力すると、アプリケーションポータルのプレビュー画面に表示される背景色が変わります。

題字の文字の色既存の色コードの上に 6 桁の 16 進数の色コードを入力して、題字として表示される文字の色を変更します。


112 VMware, Inc.


背景の色 Web ポータル画面の背景に表示される色。既存の色コードの上に新しい 6 桁の 16 進数の色コードを入力して、背景色を変更します。新しい色コードを入力すると、アプリケーションポータルのプレビュー画面に表示される背景色が変わります。背景色を強調するには [背景ハイライト] を選択します。これが有効になっている場合、複数の背景イメージをサポートするブラウザでは、[ランチャ] および [カタログ] ページにオーバーレイが表示されます。

背景色にあらかじめデザインされた三角形パターンを設定するには [背景パターン] を選択します。

名前とアイコンの色アプリケーションポータルページのアイコンの下に表示される名前について、テキストの色を選択できます。

既存の色コードの上に 16 進数の色コードを入力して、フォントの色を変更します。

レタリング効果 Workspace ONE ポータルの画面のテキストに使用するレタリングの種類を選択します。

イメージ（オプション）色の代わりにイメージをアプリケーションポータル画面の背景に追加するには、イメージをアップロードします。


ユーザーポータルのカスタムブランディングは 24 時間ごとに更新されます。より早く変更をプッシュするには、管理者として新しいタブを開いて次の URL を入力し、myco.example.com 部分をお使いのドメイン名に置き換えます。https://<myco.example.com>/catalog-portal/services/api/branding?refreshCache=true

次に進む前に

各種インターフェイスでブランディングの変更の見栄えを確認します。

VMware Verify アプリケーションのブランディングのカスタマイズVMware 認証で二要素認証を有効にした場合、会社のロゴを使ってログインページをカスタマイズできます。

開始する前に

VMware Verify が有効になっていること。

手順

1 管理コンソールの [カタログ] タブから、[設定] - [ユーザーポータルのブランディング] を選択します。

2 VMware Verify のセクションを編集します。


ロゴ承認要求のページに表示される会社のロゴをアップロードします。

画像のサイズは 540 x 170 px の PNG 形式で 128 KB 以下にします。

アイコン VMware Verify が起動したときにデバイスに表示するアイコンをアップロードします。画像のサイズは 81 x 81 px の PNG 形式で 128 KB 以下にします。


第 12 章 VMware Identity Manager サービスのカスタムブランディング

VMware, Inc. 113


114 VMware, Inc.

AirWatch と VMware Identity Manager の統合 13

AirWatch はデバイスのエンタープライズモビリティ管理を提供し、VMware Identity Manager はシングルサインオンおよび ID 管理をユーザーに提供します。

AirWatch と VMware Identity Manager を統合すると、AirWatch に登録されたデバイスのユーザーは、複数のパスワードを入力することなく、利用可能なアプリケーションに安全にログインできます。

AirWatch と VMware Identity Manager を統合すると、次のように AirWatch との統合を構成できます。

n AirWatch ユーザーおよびグループを VMware Identity Manager サービスのディレクトリと同期し、AirWatchCloud Connector を介するパスワード認証をセットアップする AirWatch ディレクトリ。

n AirWatch および VMware Identity Manager の両方で管理される、使用資格のあるアプリケーションを含む統合カタログへのシングルサインオン。

n iOS 9 デバイスでの Kerberos 認証を使用するシングルサインオン。

n AirWatch で管理される iOS 9 デバイスのコンプライアンスを確認するためのアクセスポリシールール。


n AirWatch と VMware Identity Manager との統合のセットアップ (P. 115)

n VMware Identity Manager での AirWatch インスタンスのセットアップ (P. 118)

n AirWatch 向けの統合カタログを有効にする (P. 119)

n AirWatch Cloud Connector での認証の実装 (P. 120)

n AirWatch により管理された iOS デバイス向けのモバイルシングルサインオン認証の実装 (P. 122)

n Android デバイス向けのモバイルシングルサインオン認証の実装 (P. 129)

n AirWatch で管理されているデバイスのコンプライアンスチェックの有効化 (P. 134)

AirWatch と VMware Identity Manager との統合のセットアップVMware Identity Manager 管理コンソールで AirWatch の設定を構成する前に、VMware Identity Manager と通信するよう AirWatch 管理コンソールの設定を構成します。

AirWatch と VMware Identity Manager を統合するには、以下が必要です。

n VMware Identity Manager を構成している AirWatch の組織グループは [Customer] であること。

n VMware Identity Manager サービスとの通信用の REST API 管理者キー、および AirWatch Cloud Connector パスワード認証用の REST 登録ユーザー API キーは、VMware Identity Manager が構成されるのと同じ組織グループに作成されていること。

n AirWatch からの API 管理者アカウント設定および管理者認証証明書が VMware Identity Manager 管理コンソールの AirWatch 設定に追加されたこと。

VMware, Inc. 115

n Active Directory ユーザーアカウントは VMware Identity Manager が構成されるのと同じ組織グループでセットアップされていること。

n 登録の後で VMware Identity Manager が構成される子の組織グループにエンドユーザーを配置する場合は、AirWatch 登録構成内のユーザーグループマッピングを使用して、ユーザーおよびそれぞれのデバイスを適切な組織グループにフィルタする必要があります。

AirWatch 管理コンソールで以下を設定します。

n VMware Identity Manager サービスと通信するための REST 管理者 API キー

n VMware Identity Manager 用の API 管理者アカウント、および AirWatch からエクスポートされ、VMware IdentityManager の AirWatch 設定に追加された管理者の認証証明書

n AirWatch Cloud Connector パスワード認証で使用される REST 登録ユーザー API キー

AirWatch での REST API キーの作成VMware Identity Manager と AirWatch を統合するには、AirWatch 管理コンソールで REST 管理者 API アクセスおよび登録ユーザーアクセスを有効にする必要があります。API アクセスを有効にすると、API キーが生成されます。

手順

1 AirWatch の管理コンソールで、[グローバル] > [カスタマレベルの組織グループ] を選択して、[グループと設定] >[すべての設定] > [システム] > [詳細] > [API] > [REST API] の順に移動します。

2 [全般] タブで、[追加] をクリックし、VMware Identity Manager サービスで使用する API キーを生成します。アカウントのタイプは管理者になります。

一意のサービス名を入力します。「AirWatchAPI for IDM」などの説明を追加します。

3 登録ユーザー API キーを生成するには、再度 [追加] をクリックします。

4 [アカウントタイプ] ドロップダウンメニューで、[加入ユーザー] を選択します。

一意のサービス名を入力します。「UserAPI for IDM」などの説明を追加します。

5 2 つの API キーをコピーしてファイルに保存します。

これらのキーは、VMware Identity Manager 管理コンソールで AirWatch をセットアップする際に追加します。



116 VMware, Inc.

AirWatch での管理者アカウントと証明書の作成管理者用の API キーを作成したら、AirWatch 管理コンソールで、管理者アカウントを追加して証明書認証をセットアップします。

REST API 証明書ベースの認証では、AirWatch 管理コンソールでユーザーレベルの証明書が生成されます。使用する証明書は、AirWatch 管理者ルート証明書から生成された自己署名 AirWatch 証明書です。

開始する前に

AirWatch REST 管理者用 API キーを作成します。

手順

1 AirWatch の管理コンソールで、[グローバル] > [カスタマレベルの組織グループ] の順に選択し、[アカウント] > [管理者] > [リスト表示] の順に移動します。

2 [追加] - [管理者を追加] をクリックします。

3 [ベーシック] タブで、証明書の管理者のユーザー名とパスワードを必要なテキストボックスに入力します。

4 [ロール] タブを選択し、現在の組織グループを選択し、2 番目のテキストボックスをクリックして、[AirWatch 管理者] を選択します。

5 [API] タブを選択し、[認証] テキストボックスで [証明書] を選択します。

6 証明書のパスワードを入力します。このパスワードは、[ベーシック] タブで管理者用に入力したものと同じパスワードです。


新しい管理者アカウントとクライアント証明書が作成されます。

第 13 章 AirWatch と VMware Identity Manager の統合

VMware, Inc. 117

8 [リスト表示] ページで、作成した管理者を選択し、[API] タブを再度開きます。

証明書のページには証明書に関する情報が表示されます。

9 設定したパスワードを [証明書パスワード] テキストボックスに入力し、[クライアント証明書をエクスポート] をクリックしてファイルを保存します。

クライアント証明書が .p12 ファイル形式として保存されます。

次に進む前に

VMware Identity Manager 管理コンソールで AirWatch URL を設定します。

VMware Identity Manager での AirWatch インスタンスのセットアップAirWatch の管理コンソールで設定を構成した後、VMware Identity Manager の管理コンソールの [ID とアクセス管理]ページで、AirWatch URL、API キー値、および証明書を入力します。AirWatch の設定を構成したら、AirWatch との統合で使用できる機能オプションを有効にすることができます。

VMware Identity Manager への AirWatch 設定の追加VMware Identity Manager で AirWatch 設定を構成し、VMware Identity Manager に AirWatch を統合して、AirWatch 機能の統合オプションを有効にします。AirWatch API キーおよび証明書は、VMware Identity Manager を使用した AirWatch 認証用に追加されます。

[]

開始する前に

n 管理者が AirWatch 管理コンソールにログインするための AirWatch サーバの URL。

n 統合のセットアップを目的として、VMware Identity Manager から AirWatch サーバへの API 要求に使用する、AirWatch 管理者用の API キー。

n API コールに使用する AirWatch 証明書ファイルと証明書のパスワード。証明書ファイルは .p12 のファイル形式でなければなりません。

n AirWatch 登録ユーザー API キー。

n テナントの AirWatch グループ ID（AirWatch のテナント ID）。

手順

1 VMware Identity Manager 管理コンソールの [ID とアクセス管理] タブで、[セットアップ] - [AirWatch] の順にクリックします。


118 VMware, Inc.

2 次のフィールドに AirWatch 統合設定を入力します。

フィールド説明

AirWatch API の URL AirWatch の URL を入力します。たとえば、https://myco.airwatch.comのように入力します。

AirWatch API の証明書 API コールに使用する証明書ファイルをアップロードします。

証明書のパスワード証明書のパスワードを入力します。

AirWatch 管理者用の API キー管理者用の API キー値を入力します。API キー値の例：FPseqCSataGcnJf8/Rvahzn/4jwkZENGkZzyc+jveeYs=

AirWatch 登録ユーザー用の API キー登録ユーザー API キー値を入力します。

AirWatch グループ ID API キーと管理者アカウントが作成された組織グループの AirWatch グループ ID を入力します。


次に進む前に

n [統合カタログ] 機能オプションを有効にして、AirWatch カタログでセットアップされたアプリケーションを統合カタログにマージします。

n [コンプライアンスチェック] を有効にして、AirWatch のコンプライアンスポリシーを AirWatch の管理対象デバイスが遵守しているか確認します。

「AirWatch で管理されているデバイスのコンプライアンスチェックの有効化 (P. 134)」を参照してください。

AirWatch 向けの統合カタログを有効にするVMware Identity Manager に AirWatch インスタンスを構成すると、統合カタログを有効にできます。統合カタログにより、エンドユーザーは VMware Identity Manager と AirWatch の両方から使用資格が付与されているすべてのアプリケーションを表示できます。

AirWatch が統合カタログに統合されていないときは、VMware Identity Manager サービスから使用資格が付与されているアプリケーションのみがエンドユーザーに表示されます。


VMware, Inc. 119

開始する前に

VMware Identity Manager で構成された AirWatch。

手順

1 管理コンソールの [ID とアクセス管理] タブで、[セットアップ] - [AirWatch] の順にクリックします。

2 このページの [統合カタログ] セクションで、[有効] を選択します。


次に進む前に

AirWatch エンドユーザーに、VMware Identity Manager を通じて統合カタログへアクセスする方法や、WorkspaceONE ポータルの表示方法について通知します。

AirWatch Cloud Connector での認証の実装VMware Identity Manager サービスを AirWatch Cloud Connector に統合してユーザーのパスワード認証に使用できます。VMware Identity Manager コネクタを展開する代わりに、VMware Identity Manager サービスを構成してAirWatch ディレクトリからユーザーを同期できます。

AirWatch Cloud Connector 認証を実装するには、VMware Identity Manager 管理コンソールの組み込みの ID プロバイダのページで AirWatch Cloud Connector パスワード認証を有効にします。

注意 VMware Identity Manager を認証に使用するには、AirWatch バージョン 8.3 以降で AirWatch Cloud Connectorを構成する必要があります。

ユーザー名とパスワードの認証は、AirWatch Cloud Connector 環境に統合されます。VMware Identity Manager によりサポートされる他の認証方法を使用してユーザーを認証するには、VMware Identity Manager コネクタを構成する必要があります。

ユーザー属性マッピングの管理

AirWatch ディレクトリと VMware Identity Manager ディレクトリ間のユーザー属性マッピングを構成できます。

VMware Identity Manager 管理コンソールの [ユーザー属性] ページ（[ID とアクセス管理] > [セットアップ] > [ユーザー属性] ページ）には、AirWatch ディレクトリ属性にマッピングできるデフォルトのディレクトリ属性が表示されます。必須の属性には、アスタリスクが付けられています。プロファイルで必須の属性が指定されていないユーザーは、

VMware Identity Manager サービスで同期されません。

表 13‑1. デフォルトの AirWatch ディレクトリ属性のマッピング

VMware Identity Manager ユーザー属性名 AirWatch ユーザー属性へのデフォルトのマッピング

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeID employeeID

domain ドメイン

disabled (external user disabled) disabled

phone telephoneNumber

lastName lastname*

firstName firstname*

email Email*

userName username*


120 VMware, Inc.

AirWatch ディレクトリから VMware Identity ディレクトリへのユーザーとグループの同期AirWatch 管理コンソールで VMware Identity Manager の設定を構成し、AirWatch ディレクトリの組織グループインスタンスと VMware Identity Manager 間の接続を確立します。この接続は、VMware Identity Manager サービスで作成されたディレクトリとユーザーとグループを同期するために使用されます。

VMware Identity Manager ディレクトリは AirWatch Cloud Connector と組み合わせて、パスワード認証に使用できます。

ユーザーとグループの VMware Identity Manager ディレクトリとの初回同期は手動で行います。AirWatch の同期スケジュールは、ユーザーとグループを VMware Identity Manager ディレクタをいつ同期するかを決定します。

ユーザーまたはグループが AirWatch サーバで追加または削除されると、変更はすぐに VMware Identity Manager サービスに反映されます。

開始する前に

n VMware Identity Manager のローカル管理者の名前とパスワード。

n AirWatch ディレクトリからマッピングする属性値を特定します。「ユーザー属性マッピングの管理 (P. 120)」を参照してください。

手順

1 AirWatch 管理コンソールで、[グループと設定] > [すべての設定] ページの [グローバル] > [カスタマレベルの組織グループ] を選択して、[システム] - [エンタープライズ統合] > [VMware Identity Manager] の順に移動します。

2 [サーバ] セクションで [構成] をクリックします。

注意 [構成] ボタンは、同じ組織グループにディレクトリサービスも構成されている場合にのみ使用できます。[構成] ボタンが表示されない場合は、正しい組織グループを選択していません。組織グループは、[グローバル] ドロップダウンメニューで変更できます。

3 VMware Identity Manager 設定を入力します。


URL テナント VMware URL を入力します。たとえば、https://myco.identitymanager.com となります。

管理者ユーザー名 VMware Identity Manager のローカル管理者ユーザーの名前を入力します。

管理者パスワード VMware Identity Manager のローカル管理者ユーザーのパスワードを入力します。


5 カスタムマッピングを有効にして、AirWatch から VMware Identity Manager サービスへのユーザー属性マッピングを構成します。

6 [接続をテスト] をクリックして、設定が正しいことを検証します。

7 [今すぐ同期] をクリックして、すべてのユーザーとグループを VMware Identity Manager サービスに手動で同期します。

注意システム負荷の制御のため、手動同期は前回の同期から 4 時間経過しないと実行できません。

VMware Identity Manager サービスに AirWatch ディレクトリが作成され、ユーザーとグループが VMware IdentityManager のディレクトリに同期されます。

次に進む前に

VMware Identity Manager 管理コンソールの [ユーザーとグループ] タブで、ユーザーとグループの名前が同期されていることを確認します。


VMware, Inc. 121

AirWatch のアップグレード後の VMware Identity Manager の更新AirWatch を新しいバージョンにアップグレードする場合は、VMware Identity Manager サービスで [統合カタログ] と[AirWatch を介したユーザーパスワード認証] の構成オプションを更新する必要があります。

AirWatch をアップグレードした後にこれらのオプションを保存すると、VMware Identity Manager サービスの AirWatch設定が、新しいバージョンの AirWatch によって更新されます。

手順

1 AirWatch をアップグレードした後、VMware Identity Manager の管理コンソールにログインします。

2 [ID とアクセス管理] タブで、[セットアップ] - [AirWatch] の順にクリックします。

3 [統合カタログ] セクションが表示されるまでページを下方にスクロールして、[保存] をクリックします。

4 [AirWatch によるユーザーのパスワード認証] セクションが表示されるまで下方にスクロールして、[保存] をクリックします。

AirWatch の構成は、VMware Identity Manager サービスの新しいバージョンで更新されます。

AirWatch により管理された iOS デバイス向けのモバイルシングルサインオン認証の実装

iOS デバイス認証の場合、VMware Identity Manager は Identity Manager サービスに組み込まれた ID プロバイダを使用してモバイル SSO 認証へのアクセスを提供します。この認証方法は、コネクタまたはサードパーティのシステムを使用しないキー配布センター (KDC) を使用します。管理コンソールで Kerberos を有効にする前に、VMware IdentityManager に組み込まれている ID プロバイダの KDC サービスを初期化する必要があります。

AirWatch により管理された iOS 9 デバイスのモバイル SSO 認証の実装では次の構成手順が必要です。

注意モバイル SSO 認証は、iOS 9 以降を実行する iOS デバイスでサポートされます。

n VMware Identity Manager アプライアンスの Key Distribution Center (KDC) を初期化します。インストールガイドの「iOS デバイスでの Kerberos 認証の使用準備」の章を参照してください。

n Active Directory の証明書サービスを使用している場合は、Active Directory の証明書サービスで Kerberos 証明書配布用の認証局テンプレートを構成します。次に、Active Directory 認証局を使用するように AirWatch を構成します。AirWatch 管理コンソールで証明書テンプレートを追加します。iOS 版モバイル SSO を構成するための発行元証明書をダウンロードします。

n AirWatch 認証局を使用している場合は、[VMware Identity Manager の統合] ページで証明書を有効にします。iOS 版モバイル SSO を構成するための発行元証明書をダウンロードします。

n VMware Identity Manager 管理コンソールで、組み込みの ID プロバイダを構成し、iOS 版モバイル SSO 認証を有効にして構成します。

n AirWatch 管理コンソールで、iOS デバイスプロファイルを構成し、シングルサインオンを有効にします。

AirWatch で Active Directory 認証局を構成します。AirWatch が管理する iOS 9 モバイルデバイスにシングルサインオン認証を設定するため、Active Directory と AirWatch間の信頼関係を確立し、VMware Identity Manager で iOS 版モバイル SSO 認証を有効にできます。

Active Directory 証明書サービスで Kerberos 証明書を配布するように認証局と証明書テンプレートを構成した後、AirWatch で認証に使用する証明書を要求し、AirWatch 管理コンソールに認証局を追加できるようにします。

手順

1 AirWatch 管理コンソールのメインメニューで、[デバイス] > [証明書] > [認証局] の順に移動します。



122 VMware, Inc.

3 認証局ページで以下を設定します。

注意このフォームの入力を始める前に、権限のタイプとして Microsoft AD CS が選択されていることを確認してください。


名前新しい認証局の名前を入力します。

認証局の種類 [Microsoft ADCS] が選択されていることを確認してください。

プロトコルプロトコルとして [ADCS] を選択します。

サーバのホスト名サーバの URL を入力します。ホスト名をhttps://{servername.com}/certsrv.adcs/ の形式で入力します。サイトは、サイトのセットアップ方法に応じて http または https となります。URL の最後には、 / を含める必要があります。

注意 URL のテスト時に接続が失敗した場合、アドレスから http:// または https://を削除し、接続を再度テストします。

認証局名 ADCS エンドポイントの接続先である認証局の名前を入力します。この名前は、認証局サーバで認証局アプリケーションを起動することで確認できます。

認証 [サービスアカウント] が選択されていることを確認してください。

ユーザー名とパスワード AirWatch で証明書を要求および発行するためのアクセス権が付与された、AD CS 管理者アカウントのユーザー名とパスワードを入力します。


次に進む前に

AirWatch で証明書テンプレートを構成します。

Active Directory 認証局を使用するための AirWatch の構成

認証局テンプレートは、Kerberos 証明書の配布用に適切に構成する必要があります。Active Directory 証明書サービス(AD CS) では、既存の Kerberos 認証テンプレートを複製し、iOS Kerberos 認証の新しい認証局テンプレートを構成できます。

AD CS の Kerberos 認証テンプレートを複製する際は、[新しいテンプレートのプロパティ] ダイアログボックスで、以下の情報を構成する必要があります。

図 13‑1. Active Directory 証明書サービスの [新しいテンプレートのプロパティ] ダイアログボックス

n [全般] タブ。テンプレート表示名とテンプレート名を入力します。たとえば、iOSKerberos のように入力します。これは、証明書テンプレートスナップイン、証明書スナップイン、および証明機関スナップインで表示される表示名です。

n [サブジェクト名] タブ。[要求に含まれる] ラジオボタンを選択します。AirWatch が証明書を要求する場合、サブジェクト名が AirWatch によって提供されます。


VMware, Inc. 123

n [拡張] タブ。アプリケーションポリシーを定義します。

n [アプリケーションポリシー] を選択し、[編集] をクリックして新しいアプリケーションポリシーを追加します。このポリシーに Kerberos Client Authentication という名前を付けます。

n 1.3.6.1.5.2.3.4 というオブジェクト識別子 (OID) を追加します。これは変更しないでください。

n [アプリケーションポリシーの説明] リストで、表示されている Kerberos Client Authentication ポリシーおよびスマートカード認証ポリシー以外のすべてのポリシーを削除します。

n [セキュリティ] タブ。証明書を使用できるユーザーのリストに、AirWatch アカウントを追加します。アカウントに権限を設定します。セキュリティプリンシパルには、証明書テンプレートのアクセス許可を含む証明書テンプレートのすべての属性を変更できるように、フルコントロールを設定します。または、組織の要件に従って権限を設定します。

変更を保存します。このテンプレートを、Active Directory 認証局で使用するテンプレートのリストに追加します。

AirWatch で認証局を構成し、証明書テンプレートを追加します。

AirWatch での証明書テンプレートの追加

ユーザーの証明書を生成するために使用する、認証局を関連付けた証明書テンプレートを追加します。

開始する前に

AirWatch で認証局を構成します。

手順

1 AirWatch 管理コンソールで、[システム] > [エンタープライズ統合] > [認証局] に移動します。

2 [要求テンプレート] タブを選択し、[追加] をクリックします。

3 証明書テンプレートのページで以下を構成します。


名前 AirWatch の新しい要求テンプレートの名前を入力します。

認証局ドロップダウンメニューで、作成した認証局を選択します。

発行するテンプレート Microsoft CA 証明書テンプレート名を、AD CS で作成したとおりに入力します。たとえば、iOSKerberos のように入力します。

サブジェクト名 [CN=] の後に、{EnrollmentUser} と入力します。{} テキストボックスはAirWatch の検索値です。ここで入るテキストが証明書のサブジェクト名になり、証明書を受け取るユーザーを識別するために使用されます。

プライベートキー（秘密鍵）の長さプライベートキーの長さは、AD CS で使用する証明書テンプレートの設定と一致します。通常は、2048 です。

プライベートキーのタイプ [署名および暗号化] のチェックボックスをオンにします。

SAN タイプ代替識別名には、[ユーザープリンシパル名] を選択します。値は{EnrollmentUser} にする必要があります。デバイスコンプライアンスチェックが Kerberos 認証で構成されている場合、UDID を含めるための 2 番目の SAN タイプを設定する必要があります。SAN タイプの [DNS] を選択します。値は[UDID={DeviceUid}] にする必要があります。

証明書の自動更新このチェックボックスをオンにすると、このテンプレートを使用する証明書は、有効期限が切れる前に自動的に更新されます。

自動更新期間 (日) 自動更新期間を日数で指定します。

証明書の取り消しを有効化チェックボックスをオンにすると、該当するデバイスが登録解除された場合や削除された場合、または該当するプロファイルが削除された場合に、証明書が自動的に失効

します。

プライベートキーの公開プライベートキーを公開するには、このチェックボックスを選択します。

プライベートキーの送信先 [ディレクトリサービス] または [カスタム Web サービス] のいずれか


124 VMware, Inc.


次に進む前に

ID プロバイダの管理コンソールで、組み込み ID プロバイダに iOS 版モバイル SSO 認証方法を構成します。

Active Directory 認証局と証明書テンプレートを使用した AirWatch での Apple iOS プロファイルの構成

ID プロバイダの設定をデバイスにプッシュするため、AirWatch で Apple iOS デバイスプロファイルを作成して展開します。このプロファイルには、デバイスを VMware の ID プロバイダに接続するために必要な情報と、デバイスが認証に使用する証明書が含まれます。シングルサインオンを有効にすると、アプリケーションごとに認証することなくシームレスにアクセスできます。

開始する前に

n iOS 版モバイル SSO は VMware Identity Manager で構成されます。

n AirWatch 管理コンソールからアクセス可能なコンピュータに格納された、iOS Kerberos の認証局ファイル。

n AirWatch で認証局と証明書テンプレートを適切に構成します。

n iOS デバイスの iOS 版モバイル SSO 認証を使用する URL とアプリケーションバンドル ID のリスト。

手順

1 AirWatch 管理コンソールで、[デバイス] > [プロファイルとリソース] > [プロファイル] を順に移動します。

2 [追加] - [プロファイルの追加] を選択し、[Apple iOS] を選択します。

3 iOSKerberos という名前を入力して、[全般] の設定を構成します。


VMware, Inc. 125

4 左側のナビゲーションペインで、[資格情報] - [構成] の順に選択して認証情報を構成します。


認証情報ソースドロップダウンメニューから [定義済み認証局] を選択します。

認証局ドロップダウンメニューのリストから認証局を選択します。

証明書テンプレートドロップダウンメニューから、認証局を参照する要求テンプレートを選択します。これは、AirWatch の「証明書テンプレートの追加」で作成された証明書テンプレートです。

5 ページの右下隅にある [+] をもう一度クリックし、2 つ目の認証情報を作成します。

6 [資格情報ソース] ドロップダウンメニューで、[アップロード] を選択します。

7 認証情報名を入力します。

8 [アップロード] をクリックして、[ID とアクセス管理] > [管理] > [ID プロバイダ] > [組み込みの ID プロバイダ] ページからダウンロードされた KDC サーバルート証明書をアップロードします。

9 左側のナビゲーションペインで、[シングルサインオン] を選択して、[構成] をクリックします。

10 接続情報を入力します。


アカウント名 Kerberos と入力します。

Kerberos プリンシパル名 [+] をクリックして [{EnrollmentUser}] を選択します。

レルム VMware Identity Manager アプライアンスで KDC を初期化したときに使用したレルム名を入力します。例：EXAMPLE.COM

更新証明書ドロップダウンメニューから [証明書 #1] を選択します。これは認証情報で最初に構成された Active Directory CA 証明書です。

URL プレフィックスこのアカウントを使用するために、HTTP 経由の Kerberos 認証用に一致する必要のある URL プリフィックスを入力します。次のように VMware Identity Manager サーバの URL を入力します。https://myco.example.com

アプリケーションこのサインオンで使用を許可する一連のアプリケーション ID を入力します。iOS の組み込みの Safari ブラウザを使用してシングルサインオンを実行するには、com.apple.mobilesafari のように最初のアプリケーションバンドル ID を入力します。その後続けてアプリケーションバンドル ID を入力します。これらのアプリケーションは、SAML 認証をサポートしている必要があります。

11 [保存して公開] をクリックします。

iOS プロファイルがユーザーのデバイスに正常にプッシュされたら、ユーザーは iOS 版モバイル SSO 認証方法を使用して、認証情報を入力することなく VMware Identity Manager にログインできます。

次に進む前に

他の必要な機能を構成するには、別のプロファイルを作成します。たとえば、Web クリップを構成すれば、これを使用して Web アプリケーションのアイコンを作成し、AirWatch から iOS デバイスのホームページやアプリケーションカタログにプッシュすることができます。


126 VMware, Inc.

Kerberos 認証向けの AirWatch 認証局の使用Active Directory 認証局の代わりに AirWatch 認証局を使用して、AirWatch で管理される iOS 9 モバイルデバイスに対し、組み込みの Kerberos 認証を使用するシングルサインオンをセットアップできます。AirWatch 管理コンソールでAirWatch 認証局を有効にし、CA の発行者証明書をエクスポートして、VMware Identity Manager サービスで使用できます。

AirWatch 認証局は Simple Certificate Enrollment Protocol (SCEP) に準拠するように設計されており、SCEP をサポートする AirWatch 管理デバイスで使用されます。VMware Identity Manager と AirWatch の統合では、プロファイルの一部として iOS 9 モバイルデバイスに証明書を発行するために、AirWatch 認証局を使用します。

AirWatch 認証局の発行者ルート証明書は、OCSP の署名証明書でもあります。

AirWatch 認証局を有効にしてエクスポート

AirWatch で VMware Identity Manager が有効になっている場合は、AirWatch 発行者ルート証明書を生成してエクスポートし、管理対象となる iOS 9 モバイルデバイスの iOS 版モバイル SSO 認証で使用できます。

手順

1 AirWatch 管理コンソールで、[システム] - [エンタープライズ統合] > [VMware Identity Manager] の順に移動します。

2 AirWatch 認証局を有効にするには、組織グループタイプが [カスタマ] である必要があります。

ヒントグループタイプを表示または変更するには、[グループと設定] > [グループ] - [組織グループ] > [組織グループ詳細] の順に移動します。

3 [証明書] セクションで、[有効] をクリックします。

このページに、発行者ルート証明書の情報が表示されます。

4 [エクスポート] をクリックしてファイルを保存します。

次に進む前に

VMware Identity Manager 管理コンソールで、組み込みの ID プロバイダに Kerberos 認証を構成し、認証局発行者証明書を追加します。

AirWatch での AirWatch 認証局を使用した Apple iOS プロファイルの構成ID プロバイダの設定をデバイスにプッシュするため、AirWatch で Apple iOS デバイスプロファイルを作成して展開します。このプロファイルには、デバイスを VMware の ID プロバイダに接続するために必要な情報と、デバイスが認証に使用する証明書が含まれます。

開始する前に

n Identity Manager に構成された組み込みの Kerberos 認証

n AirWatch 管理コンソールからアクセス可能なコンピュータに保存された VMware Identity Manager KDC サーバのルート証明書ファイル。

n AirWatch 管理コンソールの [システム] > [エンタープライズ統合] > [VMware Identity Manager] ページで有効にし、ダウンロードした証明書。

n iOS デバイスの組み込みの Kerberos 認証を使用する URL とアプリケーションバンドル ID のリスト。

手順

1 AirWatch 管理コンソールで、[デバイス] > [プロファイルとリソース] > [プロファイル] > [プロファイルの追加] の順に移動し、[Apple iOS] を選択します。


VMware, Inc. 127

2 プロファイルの [全般] 設定を構成し、デバイスの名前として iOSKerberos と入力します。

3 左側のナビゲーションペインで、[SCEP] - [構成] の順に選択して認証情報を構成します。


認証情報ソースドロップダウンメニューから [AirWatch 認証局] を選択します。

認証局ドロップダウンメニューから [AirWatch 認証局] を選択します。

証明書テンプレート [シングルサインオン] を選択して、AirWatch 認証局が発行する証明書のタイプを設定します。

4 [資格情報] > [構成] をクリックして、2 番目の証明書を作成します。

5 [資格情報ソース] ドロップダウンメニューで、[アップロード] を選択します。

6 iOS Kerberos 認証情報名を入力します。

7 [アップロード] をクリックして、[ID とアクセス管理] > [管理] > [ID プロバイダ] > [組み込みの ID プロバイダ] ページからダウンロードされた VMware Identity Manager KDC サーバルート証明書をアップロードします。

8 左側のナビゲーションペインで、[シングルサインオン] を選択します。

9 接続情報を入力します。


アカウント名 Kerberos と入力します。

Kerberos プリンシパル名 [+] をクリックして [{EnrollmentUser}] を選択します。

レルム VMware Identity Manager アプライアンスで KDC を初期化したときに使用したレルム名を入力します。例：EXAMPLE.COM

更新証明書 iOS 8 以降のデバイスでは、ユーザーのシングルサインオンセッションの有効期限が切れた場合に、ユーザーの操作を必要とせずに、ユーザーを自動的に再認証するため

に使用する証明書を選択します。

URL プレフィックスこのアカウントを使用するために、HTTP 経由の Kerberos 認証用に一致する必要のある URL プリフィックスを入力します。次のように VMware Identity Manager サーバの URL を入力します。https://myco.example.com

アプリケーションこのログインで使用を許可する一連のアプリケーション ID を入力します。iOS の組み込みの Safari ブラウザを使用してシングルサインオンを実行するには、com.apple.mobilesafari のように最初のアプリケーションバンドル ID を入力します。その後続けてアプリケーションバンドル ID を入力します。これらのアプリケーションは、SAML 認証をサポートしている必要があります。


iOS プロファイルがユーザーのデバイスに正常にプッシュされたら、ユーザーは組み込みの Kerberos 認証を使用して、認証情報を入力することなく VMware Identity Manager にサインオンできます。

次に進む前に

別のプロファイルを作成して、他の必要な機能を iOS Kerberos に構成します。たとえば、Web クリップを構成すれば、これを使用して Web アプリケーションアイコンを作成し、AirWatch から iOS デバイスのホームページやアプリケーションカタログにプッシュすることができます。


128 VMware, Inc.

Android デバイス向けのモバイルシングルサインオン認証の実装Android 版モバイル SSO は、AirWatch により管理される Android デバイス向けの証明書による認証方法の実装です。

AirWatch Tunnel モバイルアプリケーションは Android デバイスにインストールされます。AirWatch Tunnel クライアントは認証のため VMware Identity Manager サービスにアクセスするように構成されます。トンネルクライアントはクライアント証明書を使用して相互認証された SSL セッションを確立し、VMware Identity Manager サービスはクライアント証明書を取得して認証します。

注意 Android 版モバイル SSO 認証は、Android デバイス 4.4 以降でサポートされます。

VPN アクセスを使用しないモバイルシングルサインオンAndroid デバイス向けのモバイルシングルサインオン認証は、VPN アクセスが不要な場合にトンネルサーバをバイパスするように構成できます。VPN を使用せずに Android 版モバイル SSO 認証を実装する場合、AirWatch Tunnel の構成に使用されるものと同じ構成ページが使用されますが、トンネルサーバをインストールしていないため、AirWatch Tunnelサーバのホスト名とポートは入力しないでください。引き続き AirWatch Tunnel プロファイルフォームを使用してプロファイルをセットアップしますが、トラフィックはトンネルサーバに転送されません。トンネルクライアントはシングルサインオンにのみ使用されます。

AirWatch 管理者コンソールで次の設定を構成します。

n AirWatch Tunnel のアプリケーション単位のトンネルコンポーネント。この構成によって、Android デバイスはAirWatch Tunnel モバイルアプリクライアントを介して内部の管理対象パブリックアプリにアクセスすることができます。

n アプリケーション単位のトンネルプロファイル。このプロファイルは Android 向けのアプリケーション単位のトンネル機能を有効にするために使用します。

n [ネットワークトラフィックルール] ページで（トンネルサーバが構成されていないため）、[バイパス] を選択し、トラフィックがトンネルサーバに転送されないようにします。

VPN アクセスを使用したモバイルシングルサインオンシングルサインオン向けに構成されたアプリケーションがファイアウォールの後ろのイントラネットリソースへのアクセスにも使用される場合、VPN アクセスを構成し、トンネルサーバをセットアップします。シングルサインオンが VPNで構成されている場合、トンネルクライアントはオプションでトンネルサーバを介してアプリケーショントラフィックとログイン要求をルーティングできます。シングルサインオンモードでコンソールでトンネルクライアントに使用されるデフォルトの構成の代わりに、構成はトンネルサーバを参照する必要があります。

AirWatch により管理された Android デバイスのための Android 版モバイル SSO 認証を実装するには、VMware Identity Manager 管理コンソールで Android 版モバイル SSO を構成する前に、AirWatch 管理者コンソールで AirWatch Tunnel を構成し、AirWatch Tunnel サーバをインストールする必要があります。AirWatch Tunnel サービスは、AirWatch により管理されたアプリケーションへのアプリケーション単位の VPN アクセスを提供します。AirWatchTunnel は、シングルサインオンのためにトラフィックをモバイルアプリケーションから VMware Identity Managerにプロキシするための機能も提供します。

AirWatch 管理者コンソールで次の設定を構成します。

n AirWatch Tunnel のアプリケーション単位のトンネルコンポーネント。この構成によって、Android デバイスはAirWatch Tunnel モバイルアプリクライアントを介して内部の管理対象パブリックアプリケーションにアクセスすることができます。

AirWatch Tunnel 設定を管理者コンソールで構成したら、AirWatch Tunnel インストーラをダウンロードし、AirWatch Tunnel サーバのインストールを続行します。

n Android VPN プロファイル。このプロファイルは Android 向けのアプリケーション単位のトンネル機能を有効にするために使用します。

n 管理コンソールからアプリケーションのトンネル機能を使用する各アプリケーションの VPN を有効にします。


VMware, Inc. 129

n アプリケーション単位の VPN に対して構成されるすべてのアプリケーション、プロキシサーバの詳細、およびVMware Identity Manager URL のリストを含むデバイストラフィックルールを作成します。

AirWatch Tunnel のインストールおよび構成の詳細については、AirWatch Resources Web サイトの『VMwareAirWatch Tunnel ガイド』を参照してください。

AirWatch 管理者コンソールからの Android デバイス向けのシングルサインオンの構成Android デバイス向けのシングルサインオンを構成し、ユーザーがパスワードを入力せずに安全にエンタープライズアプリケーションにログインできるようにします。

Android デバイス用のシングルサインオンを構成するには、AirWatch Tunnel を構成する必要はありませんが、同一のフィールドの多くを使用してシングルサインオンを構成します

開始する前に

n Android 4.4 以降

n アプリケーションは SAML、または別のサポート対象のフェデレーション規格をサポートしている必要があります

手順

1 AirWatch 管理コンソールで、[システム] - [エンタープライズ統合] - [AirWatch Tunnel] の順に移動します。

2 AirWatch Tunnel を初めて構成するときは、[構成] を選択し、構成ウィザードに従います。または、[上書き] を選択し、[AirWatch Tunnel を有効にする] チェックボックスを選択します。次に、[構成] をクリックします

3 [構成のタイプ] ページで、[アプリケーション単位のトンネル (Linux のみ)] を有効にします。[次へ] をクリックします。

展開モデルは [基本] のままにしておきます。

4 [詳細] ページで、テキストボックスにダミーの値を入力します。これは、このフィールドがシングルサインオン構成に必要ないためです。[次へ] をクリックします。

5 [SSL] ページで、アプリケーション単位のトンネルの SSL 証明書を構成します。パブリック SSL を使用するには、[パブリック SSL 証明書を使用] チェックボックスを選択します。[次へ] をクリックします。

トンネルデバイスルート証明書が自動的に生成されます。

注意 SAN 証明書はサポートされていません。証明書が対応するサーバホスト名に対して発行されているか、対応するドメインに対する有効なワイルドカード証明書であることを確認してください。

6 [認証] ページで、使用する証明書認証タイプを選択します。[次へ] をクリックします。


デフォルト AirWatch で発行された証明書を使用するには [デフォルト] を選択します。

エンタープライズ CA AirWatch で構成した証明機関と証明書テンプレートがリストされたドロップダウンメニューが表示されます。また、CA のルート証明書をアップロードすることもできます。

エンタープライズ CA を選択する場合は、CA テンプレートにサブジェクト名 [CN=UDID] が含まれていることを確認します。AirWatch Tunnel の構成ページから CA 証明書をダウンロードすることができます。


8 [プロファイルの関連付け] ページで、Android 向けの既存の AirWatch Tunnel VPN プロファイルを関連付けるか、新規作成します。

この手順でプロファイルを作成する場合も、プロファイルを公開する必要があります。「AirWatch での Android プロファイルの構成」を参照してください。


130 VMware, Inc.

9 構成のサマリを確認して、[保存] をクリックします。

システム設定の構成ページに移動します。

AirWatch 管理者コンソールからの AirWatch Tunnel VPN アクセス設定の構成AirWatch Tunnel 設定でアプリケーション単位のトンネルコンポーネントを有効にして、Android デバイス向けのアプリケーション単位のトンネル機能を設定します。アプリケーション単位のトンネルによって、内部の管理対象パブリック

アプリケーションがアプリケーション単位で社内リソースにアクセスできるようになります。

指定したアプリケーションが起動されると VPN に自動的に接続できます。詳細な AirWatch Tunnel 構成手順については、AirWatch Resources Web サイトの『VMware AirWatch Tunnel ガイド』を参照してください。

手順

1 AirWatch 管理コンソールで、[システム] - [エンタープライズ統合] - [AirWatch Tunnel] の順に移動します。

2 AirWatch Tunnel を初めて構成するときは、[構成] を選択し、構成ウィザードに従います。または、[上書き] を選択し、[AirWatch Tunnel を有効にする] チェックボックスを選択します。次に、[構成] をクリックします

3 [構成のタイプ] ページで、[アプリケーション単位のトンネル (Linux のみ)] を有効にします。[次へ] をクリックします。

展開モデルは [基本] のままにしておきます。

4 [詳細] ページの [アプリケーション単位のトンネル構成] に AirWatch Tunnel サーバのホスト名とポートを入力します。たとえば、tunnel.example.com のように入力します。[次へ] をクリックします。

5 [SSL] ページで、アプリケーション単位のトンネルの SSL 証明書を構成します。パブリック SSL を使用するには、[パブリック SSL 証明書を使用] チェックボックスを選択します。[次へ] をクリックします。

トンネルデバイスルート証明書が自動的に生成されます。

注意 SAN 証明書はサポートされていません。証明書が対応するサーバホスト名に対して発行されているか、対応するドメインに対する有効なワイルドカード証明書であることを確認してください。

6 [認証] ページで、使用する証明書認証タイプを選択します。[次へ] をクリックします。


デフォルト AirWatch で発行された証明書を使用するには [デフォルト] を選択します。

エンタープライズ CA AirWatch で構成した証明機関と証明書テンプレートがリストされたドロップダウンメニューが表示されます。また、CA のルート証明書をアップロードすることもできます。

エンタープライズ CA を選択する場合は、CA テンプレートにサブジェクト名 [CN=UDID] が含まれていることを確認します。AirWatch Tunnel の構成ページから CA 証明書をダウンロードすることができます。

デバイスコンプライアンスチェックを Android に対して構成する場合、CA テンプレートにサブジェクト名 CN=UDIDが含まれていることを確認するか、UDID を含めるように SAN タイプを設定します。SAN タイプの DNS を選択します。値は UDID={DeviceUid} にする必要があります。


8 [プロファイルの関連付け] ページで、Android 向けの既存の AirWatch Tunnel VPN プロファイルを関連付けるか、新規作成します。

この手順でプロファイルを作成する場合も、プロファイルを公開する必要があります。「AirWatch での Android プロファイルの構成」を参照してください。

9 （オプション）[その他] ページで、アプリケーション単位のトンネルコンポーネントのアクセスログを有効にします。[次へ] をクリックします。

これらのログは、AirWatch Tunnel サーバをインストールする前に有効にする必要があります。


VMware, Inc. 131

10 構成のサマリを確認して、[保存] をクリックします。

システム設定の構成ページに移動します。

11 [全般] タブを選択し、[トンネル仮想アプライアンス] をダウンロードします。

VMware Access Point を使用して、トンネルサーバをデプロイできます。

次に進む前に

AirWatch Tunnel サーバをインストールします。手順については、AirWatch Resources Web サイトの『VMwareAirWatch Tunnel ガイド』を参照してください。

Android 版のアプリケーション単位のトンネルプロファイルの構成AirWatch Tunnel のアプリケーション単位のトンネルコンポーネントを構成してインストールした後、Android VPNプロファイルを構成し、プロファイルにバージョンを追加することができます。

手順

1 AirWatch 管理コンソールで、[デバイス] - [プロファイル] > [プロファイルを追加] に移動し、[Android] または[Android for Work] を選択します。

2 Android 版の [一般] 設定を構成します（まだ設定されていない場合）。

3 左の列で、[VPN] を選択して [構成] をクリックします。

4 VPN 接続情報を入力します。


接続のタイプ [AirWatch Tunnel] を選択します。

接続名この接続の名前を入力します。たとえば、「AndroidSSO Configuration」と入力します。

サーバ AirWatch Tunnel サーバの URL は自動的に入力されます。

アプリケーション単位の VPN ルール [アプリケーション単位の VPN ルール] チェックボックスを選択します。

5 [バージョンを追加] をクリックします。


次に進む前に

Android 版モバイル SSO を使用してアクセスできる Android アプリ用のアプリケーション単位の VPN を有効にします。「Android アプリ用のアプリケーション単位の VPN の有効化 (P. 132)」を参照してください。

Android アプリ用のアプリケーション単位の VPN の有効化アプリケーション単位の VPN プロファイル設定は、VMware Identity Manager の Android 版モバイル SSO によってアクセスされる Android アプリに対して有効です。

開始する前に

n アプリケーション単位のトンネルコンポーネントがインストール済みで AirWatch Tunnel が構成されている。

n Android VPN プロファイルが作成されている。

手順

1 AirWatch 管理コンソールで、[アプリとブック] - [アプリケーション] - [リスト表示] に移動します。

2 [内部] タブを選択します。

3 [アプリケーションを追加] を選択し、アプリケーションを追加します。


132 VMware, Inc.

4 [保存して割り当て] をクリックします。

5 [割り当て] ページで、[割り当てを追加] を選択し、[詳細] セクションの [アプリケーション単位の VPN プロファイル] ドロップダウンメニューで、作成した Android VPN プロファイルを選択します。


Android 版モバイル SSO によってアクセスされる各 Android アプリのアプリケーション単位の VPN を有効にします。アプリケーションの追加または編集の詳細については、AirWatch リソース Web サイトの『VMware AirWatchモバイルアプリケーション管理ガイド』を参照してください。

次に進む前に

ネットワークトラフィックルールを作成します。「AirWatch のネットワークトラフィックルールの構成 (P. 133)」を参照してください。

AirWatch のネットワークトラフィックルールの構成AirWatch Tunnel クライアントが Android デバイス用の HTTPS プロキシにトラフィックをルーティングするようにネットワークトラフィックルールを構成します。アプリケーション単位の VPN オプションで構成される Android アプリをトラフィックルールにリストし、プロキシサーバアドレスと destination ホスト名を構成します。

ネットワークトラフィックルールの作成の詳細については、AirWatch リソース Web サイトの『VMware AirWatchTunnel ガイド』を参照してください。

開始する前に

n アプリケーション単位のトンネルコンポーネントがインストール済みで AirWatch Tunnel オプションが構成されている。

n Android VPN プロファイルが作成されている。

n ネットワークトラフィックルールに追加された個々の Android アプリのためにアプリケーション単位の VPN が有効化されている。

手順

1 AirWatch 管理コンソールで、[システム] - [エンタープライズ統合] > [AirWatch Tunnel] - [ネットワークトラフィックルール] の順に移動します。

2 『AirWatch Tunnel ガイド』で説明するネットワークトラフィックルールの設定を構成します。Android 版モバイル SSO の構成に従って、[ネットワークトラフィックルール] ページで次の設定を構成します。

a [アプリケーション] 列で、アプリケーション単位の VPN プロファイルが構成されている Android アプリを追加します。

b [アクション] 列で、プロキシを選択し、HTTPS プロキシ情報を指定します。VMware Identity Manager のホスト名とポートを入力します。たとえば、login.example.com:5262 のように入力します。

注意 VMware Identity Manager ホストへの外部アクセスを提供している場合は、ファイアウォールのポート5262 を開くか、ポート 5262 トラフィックを DMZ のリバースプロキシを介してプロキシする必要があります。

c [接続先のホスト名] 列に、接続先の VMware Identity Manager ホスト名を入力します。たとえば、myco.example.com のように入力します。AirWatch Tunnel クライアントは、VMware Identity Managerホスト名から HTTPS プロキシにトラフィックをルーティングします。


VMware, Inc. 133


次に進む前に

これらのルールを公開します。ルールが公開されると、デバイスは更新 VPN プロファイルを受け取り、SSO が有効になるように AirWatch Tunnel アプリケーションが構成されます。

VMware Identity Manager 管理コンソールに進み、[組み込み ID プロバイダ] ページで Android 版モバイル SSO を構成します。

GUID-3D7A6C83-9644-42AE-94BD-003EAF3718CD#GUID-3D7A6C83-9644-42AE-94BD-003EAF3718CDを参照してください。

AirWatch で管理されているデバイスのコンプライアンスチェックの有効化ユーザーが AirWatch Agent アプリケーションを介してデバイスを登録する場合、コンプライアンスを評価するために使用されるデータを含むサンプルがスケジュールに従って送信されます。このサンプルデータの評価により、デバイスがAirWatch コンソールの管理者によって設定されたコンプライアンスルールを遵守していることを確認できます。デバイスがコンプライアンスルールを遵守していない場合、AirWatch コンソールで構成されたアクションが実行されます。

VMware Identity Manager には、ユーザーがデバイスからログインする際に、AirWatch サーバを確認してデバイスのコンプライアンス状態を確認するよう構成できるアクセスポリシーオプションが組み込まれています。デバイスでコンプライアンスルールが遵守されなくなった場合、コンプライアンスチェックにより、ユーザーがアプリケーションにログインしたり、VMware Identity Manager ポータルに対してシングルサインオンを使用したりすることを確実に防ぐことができます。デバイスで再度コンプライアンスルールが遵守されるようになったら、再びログインできるようになります。

デバイスが危険にさらされている場合、Workspace ONE アプリケーションが自動的にログアウトし、アプリケーションへのアクセスをブロックします。デバイスがアダプティブ管理によって登録された場合、AirWatch コンソールを介して発行されたエンタープライズ WIPE コマンドにより、デバイスの登録が解除され、管理対象アプリケーションがデバイスから削除されます。管理対象外のアプリケーションは削除されません。

AirWatch コンプライアンスポリシーの詳細については、AirWatch リソース Web サイトの『VMware AirWatch モバイルデバイス管理ガイド』を参照してください。


134 VMware, Inc.

コンプライアンスチェックのためのアクセスポリシールールの構成コンプライアンスチェックを要求するアクセスポリシールールを構成すると、AirWatch で管理されるデバイスが AirWatchデバイスのコンプライアンスポリシーに準拠していることを、VMware Identity Manager が検証できます。コンプライアンスチェックは、組み込みの ID プロバイダで有効にします。コンプライアンスチェックを有効にしたら、AirWatchで管理されているデバイスに対して認証とデバイスコンプライアンスの確認を求めるアクセスポリシールールを作成します。

コンプライアンスチェックポリシールールは、iOS 版モバイル SSO、Android 版モバイル SSO、および証明書のクラウドデプロイによる認証チェーンで動作します。使用する認証方法は、ポリシールール構成のデバイスコンプライアンスオプションに先行する必要があります。

開始する前に

組み込み ID プロバイダで構成された認証方法。

手順

1 管理コンソールの [ID とアクセス管理] タブで、[セットアップ] - [AirWatch] の順に選択します。

2 AirWatch ページの [コンプライアンスチェック] セクションで、[有効] を選択します。


4 [ID とアクセス管理] タブで、[管理] - [ポリシー] に移動します。

5 編集するアクセスポリシーを選択します。

6 [ポリシールール] セクションで、編集するポリシールールを選択します。

7 [次に、以下の方法を使用して認証する必要があります] のドロップダウンメニューで、[+] をクリックして使用する認証方法を選択します。

8 [次に、以下の方法を使用して認証する必要があります] の 2 番目のドロップダウンメニューで、[デバイスコンプライアンス (AirWatch)]　を選択します。

9 （オプション）[カスタムエラーメッセージ] の [メッセージテキスト] テキストボックスで、カスタムメッセージを作成します。これは、デバイスがコンプライアンスルールを遵守しておらず、ユーザー認証が失敗した場合に表示されます。[カスタムエラーリンク] テキストボックスでは、メッセージに表示されるリンクを追加できます。


VMware, Inc. 135



136 VMware, Inc.

インデックス

AActive Directory グローバルカタログ 15Active Directory との連携 15Active Directory属性マッピング 22展開 72統合 Windows 認証 13連携 15

Active Directory 認証局 123Active Directory の追加 23Active Directory パスワードの変更 28Active Directory パスワードのリセット 28AD パスワードの変更 28AirWatch

iOS プロファイルの構成 125, 127管理者アカウント 117証明書 117デバイスコンプライアンスチェック 135統合カタログを有効にする 119

AirWatch との統合の構成 118AirWatch の統合 115AirWatch 認証局、OCSP 127AirWatch 認証局、有効にする 127AirWatch 認証局のエクスポート 127AirWatch 認証局を有効にする 127AirWatch、Identity Managerとの統合 115AirWatch、VMware Identity Manager でのセット

アップ 118AirWatch、構成 115AirWatch、ネットワークトラフィックルール 133AirWatch API キー 116AirWatch Cloud Connector 認証 120AirWatch Cloud Connector のアップグレード 122AirWatch Cloud パスワード認証 70AirWatch Tunnel、構成 131AirWatch ディレクトリ、ユーザー属性 120AirWatch でのコンプライアンスチェック 134AirWatch の Apple iOS プロファイル 127AirWatch のアップグレード、更新サービス 122AirWatch の構成 115AirWatch のコンプライアンスチェック 135AirWatch の証明書テンプレート、Kerberos 124AirWatch の認証局、Kerberos 認証 122

Android 版のアプリケーション単位のトンネルプロファイル 132

android、アプリケーション単位の VPN 132Android、シングルサインイン 130Android 認証、ネットワークトラフィックルール 133Android 版モバイル SSO、実装 129API キー 115, 116AWCA 127

CChrome 58Citrix 公開アプリケーション、有効化 98Cookie、パーシステント 83

DDNS サービスロケーションルックアップ 17, 19domain_krb.properties のトラブルシューティン

グ 21domain_krb.properties ファイル 17, 19

FFirefox 57

IICA プロパティ 103[ID とアクセス管理] 設定 10ID プロバイダ

Workspace 71アクセスポリシーへの関連付け 77組み込み 69コネクタ 53, 73サードパーティ 53, 71, 73, 100シングルログアウト 72

ID プロバイダインスタンス、選択 73ID プロバイダの選択、構成 72ID プロバイダを追加ボタン 72Internet Explorer 56iOS 版モバイル SSO 122iOS Kerberos 認証 54iOS デバイスプロファイルの構成 125IP 範囲 73

KKerberos

AirWatch の構成 123Windows 認証 54

VMware, Inc. 137

構成 55構成するブラウザ 56コンプライアンスチェック 134組み込み 122

Kerberos、IWA を使用した実装 54kerberos 用のブラウザ 56

LLDAP 経由の Active Directory 13, 23LDAP ディレクトリ連携 31, 32制限事項 31

RRADIUS 構成 61RADIUS サーバ 61RADIUS 認証 60REST API 104REST API キー 116RSA SecurID サーバ 59RSA Adaptive Authentication、ユーザーの登録 62RSA Adaptive Authentication、構成 63RSA Adaptive Authentication の構成 63runtime-config.properties ファイル 19

SSAMLサードパーティ ID プロバイダ 71証明書 100メタデータ 100

SAML アサーション、ジャストインタイム 48SecurID、構成 59siteaware.subnet プロパティ 19SMS 67SRV ルックアップ 17, 19

TThinApp アラート 103ThinApp パッケージ、有効化 98TOTP 67

UUPN 65userName 86

VView、有効化 98VMware Verify、ブランディング 113VMware Verifyセキュリティトークン 68リセット 87

VMware Verify,ユーザーの登録 68VMware Verify、登録を解除 69

VMware Verify、二要素認証 67VMware Verify のリセット 69VMware Verify へのユーザーの登録 68VMware Verify、有効化 68

WWeb アプリケーション 95, 96Web アプリケーションの追加 97Workspace IDP 71

あ

アウトオブバンド認証 62アカウントを無効にする 21アクセスイベント 109アクセス拒否のメッセージ、構成 75アクセスポリシー

ID プロバイダへの関連付け 77, 81, 83TTL 74, 77, 79Web アプリケーション固有 79, 81, 83クライアントタイプ 74最小認証スコア 77, 79認証強度 74ネットワーク 74, 77, 79

アクセスポリシーセットWeb アプリケーション固有 79, 81, 83作成 81デフォルト 74, 77, 81, 83ポータル 77, 81

アプライアンスのステータス 108統合、カテゴリ 100アプリケーション

Web 96モバイル 96

アプリケーションの人気度 107

え

エンドユーザー、Workspace ONE 9

か

POC（事前検証） 72概要、[ID とアクセス管理] 設定 10カスタムエラーメッセージ 82カスタムブランディング、セットアップ 10カタログ

Web アプリケーションの追加 97管理 95

カタログ、Citrix 公開アプリケーション 98カタログ、ThinApp パッケージ 98カタログ、ビュー 98カタログ設定、Citrix 公開アプリケーション 103カテゴリ

削除 100作成 99


138 VMware, Inc.

除去 100適用 99

監査イベントレポート 109管理コンソール 9管理コンソールでの操作 9管理者、認証 44管理タブの説明 9

き

キー配布センター 54

く組み込みの ID プロバイダ、有効 70組み込みの ID プロバイダ、構成 70グループ

Active Directory 85Workspace 88追加 88メンバーシップレポート 108ユーザーを追加 88リソースの使用資格を付与 88, 90

グループ加入、ユーザー 87グループ名 86, 87グループメンバーシップレポート 108グループを追加 88グローバル設定、ヘルパーアプリケーションを無効

化 101

け

ゲストユーザー 85

こコネクタ、アクティベーションコード 10コンプライアンスチェックの有効化 134

さ

サードパーティの ID プロバイダ 72再認証セッションの時間、構成 75ログインページ、カスタマイズ 111

し資格、ユーザー 87システム ID プロバイダ 37システム情報 108システム診断ダッシュボード 108システムディレクトリ 37システムドメイン 37ジャストインタイムディレクトリ 45, 49ジャストインタイムユーザープロビジョニング

SAML アサーション 48エラーメッセージ 50概要 45構成 48

準備 46ディレクトリの削除 49無効化 49ユーザー属性 47ローカルグループ 46

使用状況レポート 108承認 104証明機関、スマートカード 65シングルログアウト、ID プロバイダ 72

す

スマートカード証明書の失効 65スマートカード、構成 66スマートカード認証 65スマートカードの証明機関 65

せセーフガード、ディレクトリの同期 29セーフガード、しきい値 29セーフガードの設定、無視 29設定

カタログ 100パーシステント Cookie 83

そ属性

デフォルト 21マッピング 22

その他のディレクトリ 121

た

対象者 7ダッシュボード 107タブレットビュー、カスタマイズ 112

ち

チャレンジ質問 62

てディレクトリ

追加 10, 13, 23同期のセーフガード 29

ディレクトリ、AirWatch 121ディレクトリサーバグループ 85ディレクトリの統合 13データベース、監視 108デバイス使用状況レポート 108

と

同期設定 22同期のセーフガード、無視 29統合 Windows 認証 23統合カタログ、AirWatch 向けに有効にする 119

インデックス

VMware, Inc. 139

独自の属性名、使用しない 21ドメイン 22ドメインの同期、ユーザー 87ドメインへの参加、kerberos 55トンネル、AirWatch 130

に

二要素認証 67認証

Android アプリ用のアプリケーション単位のVPN 132

RADIUS 60認証、AirWatch Cloud Connector 120認証、AirWatch パスワード 70認証、Android 版モバイル SSO 129認証エラーメッセージ 82認証チェーン 77認証方法

RSA Adaptive Authentication 62アクセスポリシーへの関連付け 77, 81, 83ポリシーへの追加 75

認証方法の順序 75

ねネットワーク範囲、アクセスポリシーへの関連付

け 77, 81, 83

はパーシステント Cookie、有効 84パーシステント Cookie を有効化 84バージョン 108パスワード、有効期限切れ 28パスワードの最小長 93パスワードの履歴、設定 93パスワードポリシー 93パスワードリマインダの通知 93パスワード（ローカルディレクトリ）、管理者 44

ふブラウザ、サポート対象 9ブランディング、VMware Verify 113ブランディングのカスタマイズ 111

へ

ヘルパーアプリケーション 101

ほポータルページ、カスタマイズ 112ポータルページのカスタマイズ 112ポリシー、編集 83ポリシールールコンプライアンスチェック 135認証チェーン 77

ま

マルチドメイン 15

む無効化

Citrix Receiver のダウンロード 101Horizon Client のダウンロード 101

もモバイルアプリケーション、リソースタイプ 95モバイルビュー、カスタマイズ 112

ゆ

有効期限が切れた Active Directory パスワード 28ユーザー

Active Directory 85資格 87ユーザー属性 22

ユーザー情報の表示 87ユーザーストア 72ユーザー属性、セットアップ 10ユーザー属性、AirWatch ディレクトリ 120[ユーザー属性] ページ 21ユーザープロファイル 87ユーザーポータル、カスタマイズ 111ユーザー名 86, 87ユーザーレポート 108

ら

ライセンス承認 104ライセンス承認を有効にする 104

りリソース

カテゴリ 99, 100グループに使用資格を付与 88使用資格の付与 90使用中のタイプのパーセンテージ 107ライセンス承認 104

リソースアクティビティレポート 108リソース資格レポート 108リモートアプリアクセス、クライアント 101

る

ルール 83

れレポート

デバイス使用状況 108リソースアクティビティ 108ロール 108


140 VMware, Inc.

ろローカルディレクトリ

ID プロバイダとの関連付け 41削除 43作成 38, 39ドメインの削除 42ドメインの追加 42ドメイン名の変更 42名前の変更 42編集 42ユーザー属性 42

ローカルディレクトリの設定 42ローカルディレクトリのユーザー属性 39ローカルユーザー削除 92追加 91無効化 92

ローカルユーザー、追加 91ローカルユーザーの削除 92ローカルユーザーの追加 91ローカルユーザーを無効にする 92ロール、ユーザー 87ロール割り当てレポート 108ログインしたユーザー、数 107ロゴ、追加 111

わ

ワーカー 13ワークスペースイメージ 95ワークスペースの健全性の監視 108ワンタッチ通知 67

インデックス

VMware, Inc. 141


142 VMware, Inc.

VMware Identity Manager の管理...VMware Identity Manager 管理コンソールの使用 1 VMware...

Documents

Transcript of VMware Identity Manager の管理...VMware Identity Manager 管理コンソールの使用 1 VMware...