VMware Identity Manager のインストールと構成...VMware Identity Manager...

VMware Identity Manager のインストールと構成

VMware Identity Manager 2.8


2 VMware, Inc.

最新の技術ドキュメントは VMware の Web サイト（https://docs.vmware.com/jp/）にあります

VMware の Web サイトでは最新の製品アップデートも提供されています。

このドキュメントに関するご意見およびご感想がある場合は、[email protected]までお送りください。

Copyright © 2013 – 2017 VMware, Inc. 無断転載を禁ず。著作権および商標情報。

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

https://docs.vmware.com/jp/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

目次

VMware Identity Manager のインストールと構成 7

1 VMware Identity Manager のインストールの準備 9

システムとネットワークの構成の要件 11VMware Identity Manager の展開の準備 14

DNS レコードと IP アドレスの作成 14VMware Identity Manager のデータベースオプション 15エンタープライズディレクトリへの接続 15展開チェックリスト 15

カスタマーエクスペリエンス改善プログラム 17

2 VMware Identity Manager の展開 19

VMware Identity Manager OVA ファイルの展開 19（オプション）IP プールの追加 21VMware Identity Manager の設定 21VMware Identity Manager のためのプロキシサーバの設定 30ライセンスキーの入力 30

3 アプライアンスシステム構成設定の管理 31

アプライアンスの構成設定の変更 32データベースへの接続 32

Microsoft SQL データベースの構成 32Oracle データベースの構成 33内部データベースの管理 35外部データベース使用のための VMware Identity Manager の構成 35

SSL 証明書の使用 35パブリック証明機関の適用 36SSL 証明書の追加 37

VMware Identity Manager サービス URL の変更 38コネクタ URL の変更 38Syslog サーバの有効化 38ログファイル情報 39ログ情報の収集 39

アプライアンスのパスワードを管理する 40SMTP 設定を構成する 40

4 エンタープライズディレクトリとの統合 41

ディレクトリ統合に関連する重要な概念 41Active Directory との連携 42

Active Directory 環境 43ドメインコントローラの選択（domain_krb.properties ファイル） 44

VMware, Inc. 3

Active Directory で同期されるユーザー属性の管理 48ドメインに参加するために必要な権限 49サービスへの Active Directory 接続の構成 50Active Directory パスワードの変更をユーザーに許可する 55

LDAP ディレクトリとの連携 56LDAP ディレクトリ統合の制限 56LDAP ディレクトリとサービスの統合 57

フェイルオーバーと冗長性を構成してからディレクトリを追加 60

5 ローカルディレクトリの使用 61

ローカルディレクトリの作成 62グローバルレベルでのユーザー属性の設定 63ローカルディレクトリの作成 64ローカルディレクトリと ID プロバイダの関連付け 66

ローカルディレクトリ設定の変更 67ローカルディレクトリの削除 68

6 VMware Identity Manager アプライアンスの詳細構成 69

ロードバランサまたはリバースプロキシを使用して、 VMware Identity Manager への外部アクセスを有効にする 69ロードバランサへの VMware Identity Manager ルート証明書の適用 71VMware Identity Manager にロードバランサルート証明書を適用する 71VMware Identity Manager のためのプロキシサーバの設定 72

単一のデータセンターにおけるフェイルオーバーと冗長性の構成 73VMware Identity Manager クラスタで推奨されるノードの数 73VMware Identity Manager の FQDN をロードバランサの FQDN に変更する 74仮想アプライアンスのクローンを作成する 75クローン作成された仮想アプライアンスへの新しい IP アドレスの割り当て 75障害発生時に別のインスタンスでディレクトリ同期を有効にする 77

フェイルオーバーと冗長化のためのセカンダリデータセンターへの VMware Identity Manager の展開 78セカンダリデータセンターのセットアップ 80セカンダリデータセンターへのフェイルオーバー 87プライマリデータセンターへのフェイルバック 89セカンダリデータセンターからプライマリデータセンターへの昇格 89ダウンタイムを発生させずに VMware Identity Manager をアップグレードする 89

7 追加コネクタアプライアンスのインストール 91

コネクタのアクティブ化コードを生成する 92コネクタ OVA ファイルを展開する 92コネクタの設定 93

8 iOS デバイスでの Kerberos 認証の使用準備 95

KDC を構成する前の決定事項 95アプライアンスのキー配布センターの初期化 96組み込みの Kerberos が使用する KDC 用パブリック DNS エントリの作成 97


4 VMware, Inc.

9 インストールおよび構成のトラブルシューティング 99ロードバランシングされた環境で、ユーザーがアプリケーションを起動できない、または不適切な認証方法が適用されている 99

ディレクトリの同期後にグループにメンバーが表示されない 100Elasticsearch と RabbitMQ のトラブルシューティング 100

インデックス 103

目次

VMware, Inc. 5


6 VMware, Inc.


『VMware Identity Manager のインストールと構成』では、VMware Identity Manager アプライアンスのインストールと構成のプロセスについて説明します。インストールが終了したら、管理コンソールを使用して、管理対象の複数のデ

バイスから組織のアプリケーション（Windows アプリケーション、SaaS （サービスとしてのソフトウェア）アプリケーション、および View または Horizon デスクトップなど）へのアクセス権限をユーザーに付与できます。また、本ガイドでは、高可用性を実現する展開環境の構成方法についても説明します。

対象者

この情報は VMware Identity Manager の管理者を対象としています。VMware テクノロジ、特に、vCenter™、ESX™、vSphere®

、View™、ネットワーキングの概念、Active Directory サーバ、データベース、バックアップとリストアの手順、SMTP (Simple Mail Transfer Protocol)、および NTP サーバに精通している、Windows および Linux のシステム管理者向けに記述されています。SUSE Linux 11 は、仮想アプライアンスの基本オペレーティングシステムです。VMware ThinApp® および RSA SecurID など、その他のテクノロジの知識も、これらの機能の実装を計画している場合に役立ちます。

VMware, Inc. 7


8 VMware, Inc.

VMware Identity Manager のインストールの準備 1

VMware Identity Manager を展開およびセットアップするタスクでは、前提条件を満たし、VMware Identity ManagerOVA ファイルを展開して VMware Identity Manager セットアップウィザードでのセットアップを完了する必要があります。

VMware, Inc. 9

図 1‑1. 一般的な展開の VMware Identity Manager アーキテクチャ図

ラップトップ

PC

ラップトップ

PC

HTTPS (443)

HTTPS(443)

DMZ

HTTPS (443)

企業のゾーン

VDI (HTML)

VDI (PCoIP/RDP)

VMware Identity Manager 仮想アプライアンス

VMware Identity Manager FQDN:myidentitymanager.mycompany.com

HTTPSPCoIP

View 接続サーバ

DNS/NTPサービス

RSASecurID

AD/ディレクトリサービス

外部データベース

ThinAppリポジトリ

Citrixサーバ

リバースプロキシ

企業 LAN ユーザー

TCP/UDP (88)：iOS のみ

AirWatchREST API

TCP/UDP (88)：iOS のみ

内部ロードバランサmyidentitymanager.mycompany.com

モバイルデバイス

インターネット

注意証明書またはスマートカードによる認証を有効にする場合は、ロードバランサで SSL 設定を終端させるのではなく、パススルー設定を使用します。この構成により、VMware Identity Manager の 1 コンポーネントであるコネクタとクライアント間で SSL ハンドシェイクが確実に行われます。

注意 AirWatch Rest API は、AirWatch 環境の場所に応じてクラウドまたはオンプレミスに配置できます。

この章では次のトピックについて説明します。

n システムとネットワークの構成の要件 (P. 11)

n VMware Identity Manager の展開の準備 (P. 14)

n カスタマーエクスペリエンス改善プログラム (P. 17)


10 VMware, Inc.

システムとネットワークの構成の要件

ハードウェア、リソース、およびネットワークの要件を決定する場合は、リソースの統合方法を含めて、展開環境全体を

考慮します。

サポートされる vSphere および ESX のバージョンvSphere および ESX サーバの次のバージョンがサポートされます。

n 5.0 U2 以降

n 5.1 以降

n 5.5 以降

n 6.0 以降

注意 NTP サーバを使用して、ESX ホストレベルで時刻同期をオンにする必要があります。オンにしない場合、仮想アプライアンス間で時間のずれが発生します。

異なるホストで複数の仮想アプライアンスを展開する場合は、仮想アプライアンス間で時刻のずれが生じないように、時

刻同期の [ホストと同期] オプションを無効にし、各仮想アプライアンスで直接 NTP サーバを構成することを検討してください。

ハードウェア要件

VMware Identity Manager仮想アプライアンスの数と各アプライアンスに割り当てられるリソースの要件を満たしていることを確認します。

ユーザー数 1,000 まで 1,000-10,000 10,000-25,000 25,000-50,000 50,000-100,000

VMware IdentityManagerサーバの数

1 台のサーバ 3 台のロードバランシングされたサーバ

3 台のロードバランシングされたサーバ



CPU（サーバあたり） 2 つの CPU 2 つの CPU 4 つの CPU 8 つの CPU 8 つの CPU

RAM（サーバあたり） 6 GB 6 GB 8 GB 16 GB 32 GB

ディスク容量（サーバ

あたり）

60 GB 100 GB 100 GB 100 GB 100 GB

追加の外部コネクタ仮想アプライアンスをインストールする場合は、次の要件を満たしていることを確認します。

ユーザー数 1,000 まで 1,000-10,000 10,000-25,000 25,000-50,000 50,000-100,000

接続サーバの数 1 台のサーバ 2 台のロードバランシングされたサーバ




CPU（サーバあたり） 2 つの CPU 4 つの CPU 4 つの CPU 4 つの CPU 4 つの CPU

RAM（サーバあたり） 6 GB 6 GB 8 GB 16 GB 16 GB

ディスク容量（サーバ

あたり）

60 GB 60 GB 60 GB 60 GB 60 GB

データベースに関する要件

VMware Identity Managerを外部データベースでセットアップすると、サーバデータを保存して整理できます。内部PostgreSQL データベースは、仮想アプライアンスに組み込まれていますが、本番環境で使用することをお勧めしません。

サポートされるデータベースバージョンとサービスパック構成の詳細については、「VMware 製品の相互運用性マトリックス」(https://www.vmware.com/resources/compatibility/sim/interop_matrix.php) を参照してください。

第 1 章 VMware Identity Manager のインストールの準備

VMware, Inc. 11

https://www.vmware.com/resources/compatibility/sim/interop_matrix.php

外部 SQL Server データベースには次の要件が適用されます。

ユーザー数 1,000 まで 1,000-10,000 10,000-25,000 25,000-50,000 50,000-100,000

CPU 2 つの CPU 2 つの CPU 4 つの CPU 8 つの CPU 8 つの CPU

RAM 4GB 4GB 8 GB 16 GB 32 GB

ディスク容量 50 GB 50 GB 50 GB 100 GB 100 GB

ネットワーク構成の要件

コンポーネント最小要件

DNS レコードおよび IP アドレス IP アドレスおよび DNS レコード

ファイアウォールポートネットワークの外部のユーザーのために、受信用のファイアウォールポート 443 がVMware Identity Managerインスタンスやロードバランサに対して開いていることを確認します。

リバースプロキシ DMZ 内に F5 Access Policy Manager などのリバースプロキシを構成して、ユーザーにVMware Identity Managerユーザーポータルへの安全なリモートアクセスを提供できます。

ポートの要件

ここでは、サーバの構成で使用されるポートについて説明します。展開環境には、これらのポートのサブセットのみが含まれる場合があります。次の 2 つのシナリオが想定されます。

n Active Directory からユーザーとグループを同期するため、VMware Identity Managerを Active Directory に接続する必要がある

n ThinApp と同期するため、VMware Identity Managerを Active Directory ドメインに参加させて、ThinApp リポジトリ共有に接続する必要がある

ポートポータル vCenter Server の IP アドレスターゲット説明

443 HTTPS ロードバランサ VMware Identity Manager 仮想アプライアンス

443 HTTPS VMware Identity Manager 仮想アプライアンス


443 HTTPS ブラウザ VMware Identity Manager 仮想アプライアンス


vapp-updates.vmware.com アップグレードサーバへのアクセス

8443 HTTPS ブラウザ VMware Identity Manager 仮想アプライアンス

管理者ポート

25 SMTP VMware Identity Manager 仮想アプライアンス

SMTP 送信メールをリレーする

ポート

38963632683269

LDAPLDAPSMSFT-GCMSFT-GC-SSL


Active Directory デフォルト値が表示され

ています。これらのポー

トは構成可能です。

445 TCP VMware Identity Manager 仮想アプライアンス

VMware ThinApp リポジトリ ThinApp リポジトリへのアクセス

5500 UDP VMware Identity Manager 仮想アプライアンス

RSA SecurID システムデフォルト値が表示され

ています。このポートは

構成可能です


12 VMware, Inc.

ポートポータル vCenter Server の IP アドレスターゲット説明

53 TCP/UDP VMware Identity Manager 仮想アプライアンス

DNS サーバすべての仮想アプライア

ンスは、ポート 53 でDNS サーバにアクセスでき、ポート 22 で着信SSH トラフィックを許可する必要があります。

88、464、135

TCP/UDP VMware Identity Manager 仮想アプライアンス

ドメインコントローラ

9300–9400 TCP VMware Identity Manager 仮想アプライアンス


要監査

54328 UDP

1433、5432、1521

TCP VMware Identity Manager 仮想アプライアンス

データベース Microsoft SQL のデフォルトポートは 1433です。

Oracle のデフォルトポートは 1521 です。

443 VMware Identity Manager 仮想アプライアンス

View サーバ View サーバへのアクセス

80、443 TCP VMware Identity Manager 仮想アプライアンス

Citrix Integration Broker サーバ Citrix IntegrationBroker に接続します。ポートのオプションは、

Integration Brokerサーバに証明書がインス

トールされているかどう

かによって異なります


AirWatch REST API デバイスのコンプライア

ンスチェックとAirWatch CloudConnector パスワード認証方法用（使用してい

る場合）

88 TCP/UDP iOS モバイルデバイス VMware Identity Manager 仮想アプライアンス

iOS デバイスから組み込み KDC への Kerberosトラフィックに使用され

るポート。

5262 TCP Android モバイルデバイス AirWatch HTTPS プロキシサービス AirWatch Tunnel クライアントは、Androidデバイス用の HTTPS プロキシにトラフィックを

ルーティングします。

Active DirectoryVMware Identity Managerでは、Windows Server 2008、2008 R2、2012、および 2012 R2 用の Active Directoryをサポートしています。ドメイン機能レベルおよびフォレスト機能レベルは、Windows Server 2003 以降です。

管理コンソールのアクセスに使用できるサポートされる Web ブラウザVMware Identity Manager 管理コンソールは、テナントの管理に使用する Web ベースのアプリケーションです。管理コンソールには次のブラウザからアクセスできます。

n Windows システム用 Internet Explorer 11

n Windows および Mac システム用 Google Chrome 42.0 以降

n Windows および Mac システム用 Mozilla Firefox 40 以降


VMware, Inc. 13

n Mac システム用 Safari 6.2.8 以降

注意 Internet Explorer 11 で VMware Identity Manager を通じた認証を行うには、JavaScript を有効にして Cookieを許可する必要があります。

Workspace ONE ポータルへのアクセスに使用されるサポート対象のブラウザエンドユーザーは、次のブラウザから自分の Workspace ONE ポータルにアクセスすることができます。

n Mozilla Firefox (最新版)

n Google Chrome (最新版)

n Safari (最新版)

n Internet Explorer 11

n Microsoft Edge ブラウザ

n ネイティブブラウザおよび Google Chrome（Android デバイス）

n Safari（iOS デバイス）

注意 Internet Explorer 11 で VMware Identity Manager を通じた認証を行うには、JavaScript を有効にして Cookieを許可する必要があります。

VMware Identity Manager の展開の準備VMware Identity Manager を展開する前に、環境を準備する必要があります。この準備には、VMware Identity ManagerOVA ファイルのダウンロード、DNS レコードの作成および IP アドレスの取得が含まれます。

開始する前に

VMware Identity Manager のインストールを開始するには、まず前提条件のタスクを完了します。

n VMware Identity Manager 仮想アプライアンスを展開する 1 台以上の ESX サーバが必要です。

注意サポートされている vSphere および ESX サーバのバージョンの詳細については、「VMware 製品の相互運用性マトリックス」（http://www.vmware.com/resources/compatibility/sim/interop_matrix.php）を参照してください。

n VMware vSphere Client または vSphere Web Client で OVA ファイルを展開し、展開した仮想アプライアンスにリモートでアクセスしてネットワークを構成する必要があります。

n VMware Identity Manager OVA ファイルを VMware Web サイトからダウンロードします。

DNS レコードと IP アドレスの作成VMware Identity Manager 仮想アプライアンス用の DNS エントリおよび固定 IP アドレスが利用できる必要があります。会社ごとに管理する IP アドレスや DNS レコードが異なるため、インストールを開始する前に、使用する DNS レコードおよび IP アドレスを確認します。

オプションで逆引きの構成が可能です。逆引きを実装する場合には、DNS サーバに PTR レコードを定義して、仮想アプライアンスが正しいネットワーク構成を使用するようにする必要があります。

ネットワーク管理者に相談する際に、下記の DNS レコードのサンプルリストを使用できます。サンプルリストの情報を、それぞれの環境に合わせて書き換えてください。次のサンプルには、DNS の正引きレコードと IP アドレスが記載されています。


14 VMware, Inc.

表 1‑1. DNS の正引きレコードと IP アドレスの例

ドメイン名リソースタイプ IP アドレス

myidentitymanager.company.com A 10.28.128.3

次のサンプルには、DNS の逆引きレコードと IP アドレスが記載されています。

表 1‑2. DNS の逆引きレコードと IP アドレスの例

IP アドレスリソースタイプホスト名

10.28.128.3 PTR myidentitymanager.company.com

DNS 構成の終了後に、DNS の逆引きが正しく構成されていることを確認します。たとえば、仮想アプライアンスのコマンド host IPaddress は DNS 名を解決する必要があります。

Unix/Linux ベースの DNS サーバの使用

Unix/Linux ベースの DNS サーバを使用していて、 VMware Identity Manager を Active Directory ドメインに参加させる予定がある場合は、Active Directory ドメインコントローラごとに正しいサービス (SRV) リソースレコードが作成されていることを確認します。

注意仮想 IP アドレス (VIP) が DNS サーバの前にあるロードバランサを使用している場合、VMware Identity Managerは、VIP の使用をサポートしません。複数の DNS サーバをカンマ区切りで指定できます。

VMware Identity Manager のデータベースオプションVMware Identity Manager に外部データセンターをセットアップすると、サーバデータを保存して整理できます。内部PostgreSQL データベースは、アプライアンスに組み込まれていますが、本番環境で使用することをお勧めしません。

外部データベースを使用するには、セットアップウィザードで外部データベースに接続する前に、データベース管理者が空の外部データベースとスキーマを準備する必要があります。ライセンスが付与されたユーザーは、Microsoft SQL データベースサーバまたは Oracle データベースサーバを使用して、高可用性外部データベース環境をセットアップできます。「データベースへの接続 (P. 32)」を参照してください。

エンタープライズディレクトリへの接続VMware Identity Manager は、ユーザーの認証や管理にエンタープライズのディレクトリインフラストラクチャを使用します。VMware Identity Manager は、単一の Active Directory ドメイン、単一の Active Directory フォレスト内の複数のドメイン、または複数の Active Directory フォレストにわたる複数のドメインを持つ Active Directory 環境と統合できます。また、VMware Identity Manager と LDAP ディレクトリを連携することもできます。ユーザーとグループを同期するには、VMware Identity Manager 仮想アプライアンスをディレクトリに接続する必要があります。

ディレクトリは、VMware Identity Manager 仮想アプライアンスと同一の LAN ネットワークでアクセスできる必要があります。

詳細については、第 4 章「エンタープライズディレクトリとの統合 (P. 41)」を参照してください。

展開チェックリスト

展開チェックリストを使用して、VMware Identity Managerコネクタ仮想アプライアンスの展開に必要な情報を収集できます。

完全修飾ドメイン名の情報

表 1‑3. 完全修飾ドメイン名 (FQDN) 情報チェックリスト

収集する情報情報を記入

VMware Identity Manager FQDN


VMware, Inc. 15

VMware Identity Manager 仮想アプライアンスのネットワーク情報

表 1‑4. ネットワーク情報チェックリスト


IP アドレス DNS サーバに PTR および A レコードが定義されている、固定 IPアドレスを使用する必要があります。

この仮想アプライアンスの DNS 名

デフォルトゲートウェイアドレス

ネットマスクまたはプリフィックス

ディレクトリ情報

VMware Identity Manager は Active Directory または LDAP ディレクトリ環境との統合をサポートします。

表 1‑5. Active Directory ドメインコントローラ情報チェックリスト


Active Directory サーバ名

Active Directory ドメイン名

ベース DN

LDAP 経由の Active Directory の場合、バインド DN ユーザー名とパスワード

Active Directory（統合 Windows 認証）の場合、コンピュータをドメインに参加させる権限を持つアカウントのユーザー名とパスワー

ド。

表 1‑6. LDAP ディレクトリサーバ情報チェックリスト


LDAP ディレクトリサーバ名または IP アドレス

LDAP ディレクトリサーバのポート番号

ベース DN

バインド DN ユーザー名とパスワード

グループオブジェクト、バインドユーザーオブジェクト、およびユーザーオブジェクトの LDAP 検索フィルタ

メンバーシップ、オブジェクト UUID および識別名のための LDAP属性名

SSL 証明書

VMware Identity Managerコネクタ仮想アプライアンスを展開した後に、SSL 証明書を追加できます。

表 1‑7. SSL 証明書情報チェックリスト


SSL 証明書

秘密キー


16 VMware, Inc.

ライセンスキー

表 1‑8. VMware Identity Manager ライセンスキー情報チェックリスト


ライセンスキー

注意展開が完了したら、管理コンソールの [アプライアンス設定] - [ライセンス] ページに、ライセンスキー情報を入力します。

外部データベース

表 1‑9. 外部データベース情報チェックリスト


データベースホスト名

ポート

ユーザー名

パスワード

カスタマーエクスペリエンス改善プログラムVMware Identity Manager 仮想アプライアンスをインストールすると、VMware カスタマエクスペリエンス改善プログラムに参加できます。

プログラムに参加すると、VMware はお客様のご要望への対応を向上させるために、お客様の展開環境に関する匿名データを収集します。お客様の組織を特定するデータは収集されません。

VMware はデータを収集する前に、お客様の組織に特有の情報を含むすべてのフィールドを匿名にします。

注意この情報を送信するために HTTP プロキシを介してインターネットに接続するようにネットワークが構成されている場合、VMware Identity Manager 仮想アプライアンスでプロキシ設定を調整する必要があります。「VMware IdentityManager のためのプロキシサーバの設定 (P. 30)」を参照してください。


VMware, Inc. 17


18 VMware, Inc.

VMware Identity Manager の展開 2VMware Identity Manager を展開するには、vSphere Client または vSphere Web Client を使用して OVF テンプレートを展開し、VMware Identity Manager 仮想アプライアンスをパワーオンして設定を構成します。

VMware Identity Manager 仮想アプライアンスを展開したら、セットアップウィザードを使用してVMware Identity Manager 環境をセットアップします。

展開チェックリストの情報を使用して、インストールを完了します。「展開チェックリスト (P. 15)」を参照してください。


n VMware Identity Manager OVA ファイルの展開 (P. 19)

n （オプション）IP プールの追加 (P. 21)

n VMware Identity Manager の設定 (P. 21)

n VMware Identity Manager のためのプロキシサーバの設定 (P. 30)

n ライセンスキーの入力 (P. 30)

VMware Identity Manager OVA ファイルの展開vSphere Client または vSphere Web Client を使用して VMware Identity Manager OVA ファイルを展開します。vSphere Client にアクセス可能なローカルな場所から OVA ファイルをダウンロードおよび展開したり、Web URL から展開することができます。

注意 vSphere Web Client を使用している場合は、Firefox か Chrome のいずれかのブラウザを使用して OVA ファイルを展開します。Internet Explorer は使用しないでください。

開始する前に

第 1 章「VMware Identity Manager のインストールの準備 (P. 9)」を確認します。

手順

1 VMware Identity Manager OVA ファイルを My VMware からダウンロードします。

2 vSphere Client または vSphere Web Client にログインします。

3 [ファイル] - [OVF テンプレートを展開] を選択します。

4 [OVF テンプレートを展開] ウィザードで、次の情報を指定します。

ページ説明

vCenter Server の IP アドレス OVA パッケージの場所を参照するか、または特定の URL を入力します。

OVF テンプレートの詳細バージョンやサイズ要件などの製品情報を確認します。

VMware, Inc. 19

ページ説明

エンドユーザー使用許諾契約書エンドユーザー使用許諾契約を読み、[同意する] をクリックします。

名前と場所 VMware Identity Manager 仮想アプライアンスの名前を入力します。名前はインベントリフォルダ内で一意である必要があり、最大で 80 文字指定できます。名前の大文字と小文字は区別されます。

仮想アプライアンスの場所を選択します。

ホスト/クラスタ仮想アプライアンスを実行するホストまたはクラスタを選択します。

リソースプールリソースプールを選択します。

ストレージ仮想アプライアンスファイルのストレージを選択します。仮想マシンストレージプロファイルも選択できます。

ディスク形式ファイルのディスク形式を選択します。本番環境の場合は、シックプロビジョニング形式のいずれかを選択します。評価やテストにはシンプロビジョニング形式を使用します。

シックプロビジョニング形式では、仮想ディスクに必要なすべての容量が展開中に割り当てられます。シンプロビジョニング形式では、その初期操作に必要とされるストレージ容量のみがディスクで使用されます。

ネットワークのマッピング VMware Identity Manager で使用されているネットワークをインベントリのネットワークにマップします。

プロパティ a [タイムゾーンの設定] フィールドで、正しいタイムゾーンを選択します。b デフォルトでは、[カスタマエクスペリエンス改善プログラム] チェックボック

スはオンになっています。VMware はお客様のご要望への対応を向上させるために、お客様の展開環境に関する匿名データを収集します。データを収集されたく

ない場合は、チェックボックスをオフにします。c [ホスト名 (FQDN)] テキストボックスに、使用するホスト名を入力します。空白

にすると、逆引き DNS を使用してホスト名が参照されます。d ネットワークのプロパティを構成します。

n VMware Identity Manager に固定 IP アドレスを構成するには、[デフォルトゲートウェイ]、[DNS]、[IP アドレス]、および [ネットマスク] の各フィールドにアドレスを入力します。

注意仮想 IP アドレス (VIP) が DNS サーバの前にあるロードバランサを使用している場合、VMware Identity Manager は、VIP の使用をサポートしません。複数の DNS サーバをカンマ区切りで指定できます。重要 [ホスト名] を含む 4 つのアドレスフィールドのいずれかが空白の場合は、DHCP が使用されます。

n DHCP を構成する場合は、アドレスフィールドを空白のままにしておきます。注意 [ドメイン名] フィールドと [ドメイン検索パス] フィールドは使用されません。これらは空白のままにしておくことができます。

（オプション） VMware Identity Manager の展開後に、IP アドレスプールを構成できます。「（オプション）IP プールの追加 (P. 21)」を参照してください。

設定の確認選択内容を確認し、[終了] をクリックします。ネットワークの速度によっては、展開に数分かかることがあります。表示される進捗ダイアログボックスで進捗状況を確認できます。

5 展開が完了したら、進捗のダイアログボックスで [閉じる] をクリックします。

6 展開した VMware Identity Manager 仮想アプライアンスを選択して右クリックし、[パワー] - [パワーオン] を選択します。

VMware Identity Manager 仮想アプライアンスは初期化されます。[コンソール] タブで詳細を確認できます。仮想アプライアンスの初期化が完了すると、コンソール画面に VMware Identity Manager のバージョン、IP アドレス、VMware Identity Manager Web インターフェイスにログインしてセットアップを完了するための URL が表示されます。

次に進む前に

n （オプション）IP アドレスプールを追加します。


20 VMware, Inc.

n Active Directory または LDAP ディレクトリへの接続や VMware Identity Manager と同期するユーザーおよびグループの選択などの VMware Identity Manager の設定を構成します。

（オプション）IP プールの追加IP プールを使用するネットワーク構成は、VMware Identity Manager ではオプションです。VMware Identity Manager仮想アプライアンスがインストールされた後、それに手動で IP プールを追加できます。

IP プールは DHCP サーバのような役割を果たし、プールから VMware Identity Manager 仮想アプライアンスに IP アドレスを割り当てます。IP プールを使用するには、仮想アプライアンスネットワークのプロパティを編集してプロパティを動的プロパティに変更し、ネットマスク、ゲートウェイ、および DNS 設定を構成します。

開始する前に

仮想アプライアンスをパワーオフする必要があります。

手順

1 vSphere Client または vSphere Web Client では、VMware Identity Manager 仮想アプライアンスを右クリックして、[設定の編集] を選択します。

2 [オプション] タブを選択します。

3 [vApp オプション] で、[詳細] をクリックします。

4 右側にある [プロパティ] セクションで、[プロパティ] ボタンをクリックします。

5 [詳細プロパティ構成] ダイアログボックスで、次のキーを構成します。

n vami.DNS.WorkspacePortal

n vami.netmask0.WorkspacePortal

n vami.gateway.WorkspacePortal

a いずれかのキーを選択して、[編集] をクリックします。

b [プロパティ設定の編集] ダイアログボックスで、[タイプ] フィールドの横の [編集] をクリックします。

c [プロパティタイプの編集] ダイアログボックスで [動的プロパティ] を選択し、[ネットマスク]、[ゲートウェイアドレス]、および [DNS サーバ] それぞれのドロップダウンメニューから適切な値を選択します。

d [OK] をクリックし、もう一度 [OK] をクリックします。

e キーごとにこれらの手順を繰り返します。

6 仮想アプライアンスをパワーオンします。

プロパティは、IP プールを使用するよう構成されました。

次に進む前に

VMware Identity Manager 設定の構成

VMware Identity Manager の設定VMware Identity Manager OVA が展開されたら、セットアップウィザードを使用してパスワードを設定し、データベースを選択します。次に、Active Directory または LDAP ディレクトリへの接続をセットアップします。

開始する前に

n VMware Identity Manager 仮想アプライアンスはパワーオンされています。

n 外部データベースを使用する場合は、外部データベースが構成されており、外部データベースの接続情報を入手して

います。詳細については、「データベースへの接続 (P. 32)」を参照してください。

第 2 章 VMware Identity Manager の展開

VMware, Inc. 21

n 要件と制限については、第 4 章「エンタープライズディレクトリとの統合 (P. 41)」、「Active Directory との連携 (P. 42)」、および「LDAP ディレクトリとサービスの統合 (P. 57)」を参照してください。

n Active Directory または LDAP ディレクトリの情報を入手しています。

n マルチフォレスト Active Directory が構成され、ドメインローカルグループに異なるフォレストのドメインのメンバが含まれる場合、VMware Identity Manager ディレクトリページで使用されるバインド DN ユーザーをドメインローカルグループが存在するドメインの管理者グループに追加する必要があります。これを行わなければ、これらのメンバはドメインローカルグループに含まれなくなります。

n フィルタとして使用するユーザー属性のリスト、および VMware Identity Manager に追加するグループのリストを入手しています。

手順

1 [コンソール] タブの青の画面に表示される VMware Identity Manager URL にアクセスします。たとえば、https://<hostname.example>.com のように表示されます。

2 証明書への同意を求めるメッセージが表示されたら、同意します。

3 [開始する] ページで [続行] をクリックします。

4 [パスワードを設定] ページで、次の管理者アカウントのパスワードを設定します。これらはアプライアンスの管理に使用されます。設定したら [続行] をクリックします。

アカウント

アプライアンス管理者 [管理者] ユーザーのパスワードを設定します。このユーザー名は変更できません。[admin] ユーザーアカウントは、アプライアンス設定の管理に使用されます。

重要 [admin] ユーザーは、6 文字以上のパスワードを使用する必要があります。

アプライアンスの root ユーザー root ユーザーパスワードを設定します。[root] ユーザーは、アプライアンスのすべての権限を持ちます。

リモートユーザー [sshuser] のパスワードを設定します。これは、SSH 接続を使用してリモートからアプライアンスにログインするために使用されます。

5 [データベースを選択] ページで、使用するデータベースを選択します。

詳細については、「データベースへの接続 (P. 32)」を参照してください。

n 外部データベースを使用する場合は、[外部データベース] を選択し、外部データベースの接続情報、ユーザー名、およびパスワードを入力します。VMware Identity Manager がデータベースに接続できることを確認するには、[接続をテスト] をクリックします。

接続を確認したら、[続行] をクリックします。

n 内部データベースを使用している場合は、[続行] をクリックします。

注意本番環境では、内部データベースを使用することをお勧めしません。

データベースへの接続を構成し、データベースを初期化します。このプロセスが完了すると、[セットアップが完了しました] ページが表示されます。

6 [セットアップが完了しました] ページで [管理コンソールにログインします] リンクをクリックし、管理コンソールにログインして Active Directory または LDAP ディレクトリ接続をセットアップします。

7 設定したパスワードを使用して、[管理者] ユーザーとして管理コンソールにログインします。

ローカル管理者としてログインされます。[ディレクトリ] ページが表示されます。ディレクトリを追加する前に、要件と制限について第 4 章「エンタープライズディレクトリとの統合 (P. 41)」、「Active Directory との連携 (P. 42)」、および「LDAP ディレクトリとサービスの統合 (P. 57)」を参照してください。

8 [ID とアクセス管理] タブをクリックします。


22 VMware, Inc.

9 [セットアップ] - [ユーザー属性] をクリックして、ディレクトリと同期するユーザー属性を選択します。

デフォルト属性が表示され、必須の属性を選択できます。属性に必須のマークが付いている場合は、その属性を持つ

ユーザーのみがサービスに同期されます。別の属性を追加することもできます。

重要ディレクトリの作成後は、必須属性にする属性を変更できません。その選択は、この時点で行う必要があります。

また、[ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されることに注意してください。属性に必須のマークを付ける場合は、他のディレクトリへの影響を考慮してください。属性に必須のマークが付いている

場合は、その属性を持たないユーザーはサービスに同期されません。

重要 XenApp リソースと VMware Identity Manager の同期を計画している場合は、[distinguishedName] を必須属性にする必要があります。

10 [保存] をクリックします。


12 [ディレクトリ] ページで、[ディレクトリを追加] をクリックし、統合するディレクトリのタイプに基づいて [LDAP/IWA経由の Active Directory を追加] または [LDAP ディレクトリを追加] を選択します。

また、サービスでローカルディレクトリを作成することもできます。ローカルディレクトリの詳細については、第 5 章「ローカルディレクトリの使用 (P. 61)」を参照してください。


VMware, Inc. 23

13 Active Directory の場合は、次の手順を実行します。

a VMware Identity Manager で作成するディレクトリの名前を入力し、ディレクトリのタイプ（[LDAP 経由のActive Directory] または [Active Directory（統合 Windows 認証）] のいずれか）を選択します。

b 接続情報を入力します。

オプション説明

LDAP 経由の Active Directory 1 [コネクタを同期] フィールドで、Active Directory からVMware Identity Manager ディレクトリにユーザーとグループを同期するためのコネクタを選択します。

コネクタコンポーネントは、デフォルトでは VMware Identity Managerサービスで常に利用できます。このコネクタは、ドロップダウンリストに表示されます。高可用性を実現するために複数の VMware Identity Managerアプライアンスを展開すると、それぞれのコネクタコンポーネントがリストに表示されます。

2 この Active Directory を使用してユーザー認証を行う場合は、[認証] フィールドで [はい] をクリックします。

サードパーティの ID プロバイダを使用してユーザーを認証する場合は、[いいえ] をクリックします。ユーザーとグループを同期するように ActiveDirectory 接続を構成したら、[ID とアクセス管理] - [管理] - [ID プロバイダ] ページの順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

3 [ディレクトリ検索属性] フィールドで、ユーザー名を含むアカウント属性を選択します。

4 Active Directory が DNS サービスロケーションルックアップを使用する場合は、次のように選択します。

n [サービスロケーション] セクションで、[このディレクトリは DNS サービスロケーションをサポートします] チェックボックスを選択します。

ディレクトリの作成時に、ドメインコントローラのリストが自動入力される domain_krb.properties ファイルが作成されます。「ドメインコントローラの選択（domain_krb.properties ファイル） (P. 44)」を参照してください。

n Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書]セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。

証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「ENDCERTIFICATE」の行を含んでいることを確認します。注意 Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。

5 Active Directory が DNS サービスロケーションルックアップを使用しない場合は、次のように選択します。

n [サービスロケーション] セクションで、[このディレクトリは DNS サービスロケーションをサポートします] チェックボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。

グローバルカタログとしてディレクトリを構成するには、「ActiveDirectory 環境 (P. 43)」の「マルチドメイン、シングルフォレストのActive Directory 環境」セクションを参照してください。

n Active Directory が SSL 経由のアクセスを必要とする場合は、[証明書]セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。

証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「ENDCERTIFICATE」の行を含んでいることを確認します。注意 Active Directory が SSL を必要とする場合、証明書がなければディレクトリを作成できません。


24 VMware, Inc.


6 [パスワードの変更を許可] セクションで、パスワードの有効期限が切れたとき、または Active Directory 管理者がユーザーのパスワードをリセットしたときにユーザーが VMware Identity Manager ログインページからパスワードをリセットできるようにするには、[パスワードの変更を有効にする] を選択します。

7 [ベース DN] フィールドに、アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。

8 [バインド DN] フィールドに、ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。

注意有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。

9 バインドパスワードを入力したら、[接続をテスト] をクリックして、ディレクトリが Active Directory に接続できることを確認します。

Active Directory（統合 Windows 認証） 1 [コネクタを同期] フィールドで、Active Directory からVMware Identity Manager ディレクトリにユーザーとグループを同期するためのコネクタを選択します。


2 この Active Directory を使用してユーザー認証を行う場合は、[認証] フィールドで [はい] をクリックします。

サードパーティの ID プロバイダを使用してユーザーを認証する場合は、[いいえ] をクリックします。ユーザーとグループを同期するように ActiveDirectory 接続を構成したら、[ID とアクセス管理] - [管理] - [ID プロバイダ] ページの順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

3 [ディレクトリ検索属性] フィールドで、ユーザー名を含むアカウント属性を選択します。

4 Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには STARTTLS を使用するすべての接続が必要]チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。

証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「ENDCERTIFICATE」の行を含んでいることを確認します。

ディレクトリに複数のドメインが含まれる場合は、ルート CA 証明書をすべてのドメインに 1 つずつ追加していきます。注意 Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。

5 参加する Active Directory ドメインの名前を入力します。ドメインへの参加権限を持つユーザーの名前とパスワードを入力します。詳細については、「ド

メインに参加するために必要な権限 (P. 49)」を参照してください。6 [パスワードの変更を許可] セクションで、パスワードの有効期限が切れたと

き、または Active Directory 管理者がユーザーのパスワードをリセットしたときにユーザーが VMware Identity Manager ログインページからパスワードをリセットできるようにするには、[パスワードの変更を有効にする] を選択します。

7 [バインドユーザー UPN] フィールドで、ドメインで認証できるユーザーの[ユーザープリンシパル名] を入力します。たとえば、[email protected] のように入力します。注意有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。


VMware, Inc. 25


8 バインド DN ユーザーのパスワードを入力します。

c [保存して次へ] をクリックします。

ドメインリストのページが表示されます。


26 VMware, Inc.

14 LDAP ディレクトリの場合は、次の手順を実行します。

a 接続情報を入力します。


ディレクトリ名 VMware Identity Manager に作成しているディレクトリの名前。

ディレクトリの同期と認証 1 [コネクタを同期] フィールドで、LDAP ディレクトリからVMware Identity Manager ディレクトリにユーザーとグループを同期するためのコネクタを選択します。


LDAP ディレクトリ用の個別のコネクタは必要ありません。コネクタは、Active Directory であるか LDAP ディレクトリであるかにかかわらず複数のディレクトリをサポートすることができます。

2 この LDAP ディレクトリを使用してユーザー認証を行う場合は、[認証] フィールドで [はい] をクリックします。

サードパーティの ID プロバイダを使用してユーザーを認証する場合は、[いいえ] を選択します。ユーザーとグループを同期するようにディレクトリ接続を追加したら、[ID とアクセス管理] - [管理] - [ID プロバイダ] ページの順に移動して、認証に使用するサードパーティの ID プロバイダを追加します。

3 [ディレクトリ検索属性] フィールドで、ユーザー名に使用する LDAP ディレクトリ属性を指定します。属性が表示されない場合は、[カスタム] を選択して、属性名を入力します。たとえば、cn にように入力します。

サーバの場所 LDAP ディレクトリサーバのホスト名とポート番号を入力します。サーバホストには、完全修飾ドメイン名または IP アドレスのいずれかを指定することができます。たとえば、myLDAPserver.example.com または 100.00.00.0 のように入力します。

ロードバランサの背後にサーバのクラスタがある場合は、代わりにロードバランサの情報を入力します。

LDAP 構成 VMware Identity Manager が LDAP ディレクトリのクエリに使用することができる LDAP 検索フィルタおよび属性を指定します。デフォルト値はコア LDAP スキーマに基づいて提供されます。

[LDAP クエリ]n [グループの取得]：グループオブジェクトを取得するための検索フィルタ。

例：(objectClass=group)n [バインドユーザーの取得]：バインドユーザーオブジェクト、つまりディレ

クトリにバインドすることができるユーザーを取得するための検索フィルタ。

例：(objectClass=person)n [ユーザーの取得]：同期するユーザーを取得するための検索フィルタ。

例：(&(objectClass=user)(objectCategory=person))

[属性]n [メンバーシップ]：グループのメンバーを定義するために LDAP ディレクト

リで使用される属性。

例：membern [オブジェクト UUID]：ユーザーまたはグループの UUID を定義するために

LDAP ディレクトリで使用される属性。

例：entryUUIDn [識別名]：LDAP ディレクトリでユーザーまたはグループの識別名に使用さ

れる属性。

例：entryDN


VMware, Inc. 27


証明書 LDAP ディレクトリが SSL 経由のアクセスを必要とする場合は、[このディレクトリには SSL を使用するすべての接続が必要です] を選択し、LDAP ディレクトリサーバのルート CA SSL 証明書をコピーして貼り付けます。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

バインドユーザーの詳細 [ベース DN]：検索を開始する DN を入力します。たとえば、cn=users,dc=example,dc=com のように入力します。[バインド DN]：LDAP ディレクトリにバインドするために使用するユーザー名を入力します。


[バインド DN パスワード]：バインド DN ユーザーのパスワードを入力します。

b LDAP ディレクトリサーバへの接続をテストするには、[接続をテスト] をクリックします。

接続に成功しない場合は、入力した情報を確認して、適切な変更を行います。

c [保存して次へ] をクリックします。

ドメインをリストしたページが表示されます。

15 LDAP ディレクトリの場合、ドメインはリストされるが変更することはできません。

LDAP 経由の Active Directory の場合、ドメインはリストされるが変更することはできません。

[Active Directory（統合 Windows 認証）] で、この Active Directory 接続に関連付ける必要があるドメインを選択します。

注意ディレクトリが作成された後に信頼するドメインを追加する場合、サービスは新規に追加されたドメインを自動的に検出しません。サービスによるドメインの検出を有効にするには、コネクタをドメインから切り離してから、

ドメインに再度参加させる必要があります。コネクタがドメインに再度参加すると、信頼するドメインがリストに表

示されます。

[次へ] をクリックします。

16 VMware Identity Manager 属性名が適切な Active Directory または LDAP 属性にマッピングされていることを確認し、必要に応じて変更します。

重要 LDAP ディレクトリを統合している場合は、[domain] 属性のマッピングを指定する必要があります。

17 [次へ] をクリックします。


28 VMware, Inc.

18 Active Directory または LDAP ディレクトリから VMware Identity Manager ディレクトリに同期するグループを選択します。


グループ DN を指定グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。

a [+] をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。重要入力したベース DN の配下にあるグループ DN を指定します。グループDN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。

b [グループの検索] をクリックします。

[同期するグループ] 列には、DN に含まれるグループの数が表示されます。c DN に含まれるすべてのグループを選択する場合は [すべてを選択] をクリックし

ます。グループを個別に選択する場合は [選択] をクリックし、同期対象となる特定のグループを選択します。

注意 LDAP ディレクトリに同じ名前のグループが複数ある場合は、VMware Identity Manager でグループに一意の名前を指定する必要があります。名前は、グループを選択しているときに変更できます。

注意グループを同期する際、Active Directory のプライマリグループである DomainUsers に属していないユーザーの同期は行われません。

ネストされたグループメンバーを同期 [ネストされたグループメンバーを同期] オプションは、デフォルトで有効になっています。このオプションが有効になっているときは、選択したグループに直接属するす

べてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期

されます。ネストされたグループ自体は同期されないことに注意してください。同期

されるのは、ネストされたグループに属するユーザーのみです。

VMware Identity Manager ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。

[ネストされたグループメンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されま

す。その下のネストされたグループに属するユーザーは同期されません。グループツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory構成では、このオプションを無効にすると、時間を短縮できます。このオプションを

無効にする場合は、同期するユーザーが属するグループをすべて選択するようにして

ください。


20 必要に応じて、同期するユーザーを追加で指定します。

a [+] をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。

重要入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。

b （オプション）ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。

フィルタリングの基準となるユーザー属性、クエリルールおよび値を選択します。


22 ディレクトリに同期するユーザーとグループの数や、同期のスケジュールを確認します。

ユーザーとグループや、同期の頻度に変更を加えるには、[編集] リンクをクリックします。

23 [ディレクトリを同期] をクリックして、ディレクトリ同期を開始します。

注意ネットワークエラーが発生し、逆引き DNS を使用してホスト名を一意に解決できない場合は、構成プロセスが停止します。ネットワークの問題を解決して仮想アプライアンスを再起動する必要があります。その後、展開プロセスを続

行できます。新しいネットワーク設定は、仮想アプライアンスを再起動しないと使用できません。


VMware, Inc. 29

次に進む前に

ロードバランサや高可用性構成のセットアップの詳細については、第 6 章「VMware Identity Manager アプライアンスの詳細構成 (P. 69)」を参照してください。

組織のアプリケーションに合わせてリソースのカタログをカスタマイズし、それらのリソースへのユーザーアクセスを有効にすることができます。また、View、ThinApp、Citrix ベースのアプリケーションを含む他のリソースもセットアップできます。『VMware Identity Manager でのリソースのセットアップ』を参照してください。

VMware Identity Manager のためのプロキシサーバの設定VMware Identity Manager 仮想アプライアンスは、インターネット上のクラウドアプリケーションカタログおよびその他の Web サービスにアクセスします。HTTP プロキシを使用するインターネットアクセスをネットワーク構成で指定している場合は、VMware Identity Manager アプライアンスでプロキシ設定を調整する必要があります。

インターネットトラフィックのみを処理するプロキシを有効にします。プロキシが正しく設定されていることを確認するために、ドメイン内の内部トラフィック用のパラメータを no-proxy に設定します。

注意認証が必要なプロキシサーバはサポートされません。

手順

1 vSphere Client で、root ユーザーとして VMware Identity Manager 仮想アプライアンスにログインします。

2 コマンドラインに YaST と入力して YaST ユーティリティを実行します。

3 左ペインで [ネットワークサービス] を選択してから、[プロキシ] を選択します。

4 [HTTP プロキシ URL] フィールドと [HTTPS プロキシ URL] フィールドにプロキシサーバの URL を入力します。

5 [終了] を選択して YaST ユーティリティを終了します。

6 VMware Identity Manager 仮想アプライアンスで Tomcat サーバを再起動して新しいプロキシ設定を使用します。

service horizon-workspace restart

クラウドアプリケーションカタログおよびその他の Web サービスを VMware Identity Manager で使用できるようになりました。

ライセンスキーの入力VMware Identity Manager アプライアンスを展開したら、ライセンスキーを入力します。

手順

1 VMware Identity Manager の管理コンソールにログインします。

2 [アプライアンス設定] タブを選択してから、[ライセンス] をクリックします。

3 [ライセンス設定] ページで、ライセンスキーを入力して [保存] をクリックします。


30 VMware, Inc.

アプライアンスシステム構成設定の管理 3アプライアンスを最初に構成したら、アプライアンス管理のページに移動して、証明書のインストール、パスワードの管

理、仮想アプライアンスのシステム情報の監視を行います。

また、データベース、FQDN、syslog、ダウンロードログファイルも更新できます。

ページ名設定の説明

データベース接続データベース接続の設定です。内部または外部のいずれかが有効で

す。データベースタイプは変更できます。外部データベースを選択する場合には、外部データベース URL、ユーザー名、パスワードを入力します。外部データベースをセットアップするには、「データ

ベースへの接続 (P. 32)」を参照してください。

証明書のインストールこのページで VMware Identity Manager のカスタムまたは自己署名証明書をインストールします。VMware Identity Manager がロードバランサとともに構成されている場合、ロードバランサのルート証明書をインストールできます。VMware Identity Managerのルート CA 証明書の場所は、このページだけでなく、[ロードバランサ上の SSL の終了] タブにも表示されます。「SSL 証明書の使用 (P. 35)」を参照してください。

Identity Manager FQDN VMware Identity Manager の FQDN がこのページに表示されます。これは変更できます。VMware Identity Manager FQDN は、ユーザーがサービスへのアクセスに使用する URL です。

Syslog の構成このページで外部 syslog サーバを有効にできます。VMware Identity Manager ログはこの外部サーバに送信されます。「Syslog サーバの有効化 (P. 38)」を参照してください。

パスワードの変更このページで VMware Identity Manager の管理者ユーザーパスワードを変更できます。

システムセキュリティこのページで VMware Identity Manager アプライアンスの rootパスワードと、リモートでログインするときに使用する ssh ユーザーパスワードを変更できます。

ログファイルの場所ログファイルのリストとそのディレクトリの場所がこのページに表示されます。ログファイルを zip ファイルにバンドルしてダウンロードできます。「ログファイル情報 (P. 39)」を参照してください。

コネクタ URL も変更できます。「コネクタ URL の変更 (P. 38)」を参照してください。


n アプライアンスの構成設定の変更 (P. 32)

n データベースへの接続 (P. 32)

n SSL 証明書の使用 (P. 35)

n VMware Identity Manager サービス URL の変更 (P. 38)

VMware, Inc. 31

n コネクタ URL の変更 (P. 38)

n Syslog サーバの有効化 (P. 38)

n ログファイル情報 (P. 39)

n アプライアンスのパスワードを管理する (P. 40)

n SMTP 設定を構成する (P. 40)

アプライアンスの構成設定の変更

VMware Identity Manager を構成した後で、[アプライアンス設定] ページにアクセスして現在の構成を更新し、仮想アプライアンスのシステム情報を監視できます。

手順

1 管理コンソールにログインします。

2 [アプライアンス設定] タブを選択してから、[構成の管理] をクリックします。

3 サービス管理者パスワードでログインします。

4 左側のペインで、表示または編集するページを選択します。

次に進む前に

設定や更新が有効になっていることを確認します。

データベースへの接続

内部 PostgreSQL データベースは、VMware Identity Manager アプライアンスに組み込まれていますが、本番環境で使用することをお勧めしません。VMware Identity Manager で外部データベースを使用するには、VMware Identity Manager のデータベースに接続する前に、データベース管理者が空のデータベースとスキーマを準備する必要があります。

外部データベースには、VMware Identity Manager セットアップウィザードを実行する際に接続できます。また、[アプライアンス設定] > [VA 構成] > [データベース接続のセットアップ] ページに移動して外部データベースへの接続を構成することもできます。

ライセンスが付与されたユーザーは、外部の Oracle データベースまたは Microsoft SQL Server を使用して、高可用性データベース環境をセットアップできます。

Microsoft SQL データベースの構成VMware Identity Manager に Microsoft SQL データベースを使用するには、Microsoft SQL Server でデータベースを新規作成する必要があります。

Microsoft SQL Server で [saas] という名前のデータベースを作成し、[horizon] という名前のログインユーザーを作成します。

注意デフォルトの照合は大文字と小文字を区別します。

開始する前に

n サポートされているバージョンの Microsoft SQL Server が外部データベースサーバとしてインストールされている。

n ロードバランス機能の実装が構成されている。

n Microsoft SQL Server Management Studio か、別の Microsoft SQL Server CLI クライアントから、データベースコンポーネントにアクセスして作成するための管理者権限。


32 VMware, Inc.

手順

1 sysadmin として Microsoft SQL Server Management Studio セッションにログインするか、sysadmin の権限を持ったユーザーアカウントとしてログインします。

エディタウィンドウが表示されます。

2 ツールバーの [新規クエリ] をクリックします。

3 次のコマンドをコピーして、エディタウィンドウに貼り付けます。

Microsoft SQL コマンド

CREATE DATABASE saasCOLLATE Latin1_General_CS_AS;ALTER DATABASE saas SET READ_COMMITTED_SNAPSHOT ON;GOBEGINCREATE LOGIN horizon WITH PASSWORD = N'H0rizon!';ENDGOUSE saas;IF EXISTS (SELECT * FROM sys.database_principals WHERE name = N'horizon')DROP USER [horizon]GOCREATE USER horizon FOR LOGIN horizonWITH DEFAULT_SCHEMA = saas;GOCREATE SCHEMA saas AUTHORIZATION horizonGRANT ALL ON DATABASE::saas TO horizon;GO

4 ツールバーで [!Execute] をクリックします。

これで Microsoft SQL データベースサーバが、VMware Identity Manager データベースと接続する準備が整いました。

次に進む前に

VMware Identity Manager サーバで外部データベースを構成します。VMware Identity Manage の管理コンソールで、[アプライアンス設定] > [VA 構成]> [データベース接続のセットアップ] ページにアクセスします。jdbc:sqlserver://<hostname-or-DB_VM_IP_ADDR>;DatabaseName=saas の形式で JDBC URL を入力します。データベース用に作成したユーザー名とパスワードを入力します。「外部データベース使用のための VMware IdentityManager の構成 (P. 35)」を参照してください。

Oracle データベースの構成Oracle データベースのインストール時に、VMware Identity Manager とのパフォーマンスを最適化するため、特定のOracle 構成を指定する必要があります。

開始する前に

作成する Oracle データベース名は、saas になります。VMware Identity Manager では、ユーザー名とスキーマにOracle 引用識別子が必要です。したがって、Oracle saas ユーザー名とスキーマを作成する際には、二重引用符を使用する必要があります。

第 3 章アプライアンスシステム構成設定の管理

VMware, Inc. 33

手順

1 Oracle データベースの作成時に次の設定を指定します。

a [General Purpose/Transaction Processing Database] 構成オプションを選択します。

b [Unicode を使用] - [UTF8] をクリックします。

c National Character Set を使用します。

2 インストール完了後に Oracle データベースに接続します。

3 Oracle データベースに sys ユーザーとしてログインします。

4 プロセス接続を増やします。追加のサービス仮想マシンごとに、VMware Identity Manager が機能するための 300以上のプロセス接続が必要です。たとえば、環境に 2 つのサービス仮想マシンがある場合は、sys ユーザーまたはsystem ユーザーとして alter コマンドを実行します。

a alter コマンドを使用して、プロセス接続を増やします。

alter system set processes=600 scope=spfile

b データベースを再起動します。

5 すべてのユーザーが使用できるデータベーストリガーを作成します。

データベーストリガを作成するためのサンプル SQL

CREATE OR REPLACETRIGGER CASE_INSENSITIVE_ONLOGONAFTER LOGON ON DATABASEDECLAREusername VARCHAR2(30);BEGINusername:=SYS_CONTEXT('USERENV','SESSION_USER');IF username = 'saas' THENexecute immediate 'alter session set NLS_SORT=BINARY_CI';execute immediate 'alter session set NLS_COMP=LINGUISTIC';END IF;EXCEPTIONWHEN OTHERS THENNULL;END;

6 Oracle コマンドを実行して新しいユーザースキーマを作成します。

新しいユーザーを作成するためのサンプル SQL

CREATE USER "saas"IDENTIFIED BY <password>DEFAULT TABLESPACE USERSTEMPORARY TABLESPACE TEMPPROFILE DEFAULTACCOUNT UNLOCK;GRANT RESOURCE TO "saas" ;GRANT CONNECT TO "saas" ;ALTER USER "saas" DEFAULT ROLE ALL;GRANT UNLIMITED TABLESPACE TO "saas";


34 VMware, Inc.

内部データベースの管理

内部 PostgreSQL データベースが構成済みで、デフォルトで使用可能になっています。本番環境では、内部データベースを使用することはお勧めしません。

VMware Identity Manager をインストールしてパワーオンの状態にすると、初期化プロセス中に、内部データベースユーザーのためのランダムパスワードが生成されます。このパスワードは展開ごとに一意で、ファイル /usr/local/horizon/conf/db.pwd にあります。

内部データベースを構成して高可用性を実現する場合は、KB 2094258 を参照してください。

外部データベース使用のための VMware Identity Manager の構成VMware Identity Manager セットアップウィザードでデータベースをセットアップしたら、別のデータベースを使用するよう VMware Identity Manager を構成できます。

VMware Identity Manager が、初期化された設定済みのデータベースを参照している必要があります。たとえば、VMware Identity Manager [セットアップ] ウィザードが正常に実行された結果構成されたデータベース、バックアップからのデータベース、またはリカバリされたスナップショットからの既存のデータベースを使用できます。

開始する前に

n サポートされている Microsoft SQL または Oracle エディションを外部データベースサーバとしてインストールして構成します。VMware Identity Manager でサポートされている個々のバージョンの詳細については、「VMware製品の相互運用性マトリックス」

(http://www.vmware.com/resources/compatibility/sim/interop_matrix.php) を参照してください。

手順

1 管理コンソールで [アプライアンス設定] をクリックし、[VA 構成] を選択します。

2 [構成の管理] をクリックします。

3 VMware Identity Manager 管理者パスワードでログインします。

4 [データベース接続のセットアップ] ページで、データベースタイプに [外部データベース] を選択します。

5 データベース接続に関する情報を入力します。

a データベースサーバの JDBC URL を入力します。

Microsoft SQL jdbc:sqlserver://<hostname_or_IP_address>;<DatabaseName=horizon>

Oracle jdbc:oracle:thin:@//<hostname_or_IP_address>:<port>/<sid>

b データベースの読み取りと書き込みの権限があるユーザーの名前を入力します。

Microsoft SQL horizon

Oracle “saas”

c データベースの構成時に作成したユーザーのパスワードを入力します。

6 [接続をテスト] をクリックして情報を検証し、保存します。

SSL 証明書の使用VMware Identity Manager アプライアンスのインストール時に、デフォルトの SSL 証明書が自動的にインストールされます。実装環境に関する一般的なテストにこの自己署名証明書を使用できます。本番環境では、商用 SSL 証明書を生成してインストールすることを強く推奨します。


VMware, Inc. 35

機関証明書 (CA) は信頼できるエンティティで、証明書および作成者の ID を保証します。証明書が信頼できる CA によって署名されていれば、ユーザーは証明書の検証を要求するメッセージを受け取ることはなくなります。

VMware Identity Manager を自己署名の SSL 証明書を使用して展開する場合は、VMware Identity Manager にアクセスするすべてのクライアントがルート CA 証明書を信頼できる CA 証明書として使用する必要があります。この場合のクライアントには、エンドユーザーのマシン、ロードバランサ、プロキシなどが含まれます。ルート CA は、https://<myconnector.domain.com>/horizon_workspace_rootca.pem からダウンロードできます。

[アプライアンス設定] - [構成の管理] - [証明書のインストール] ページで、署名された CA 証明書をインストールできます。このページでは、ロードバランサのルート CA 証明書も同じように追加できます。

パブリック証明機関の適用VMware Identity Manager サービスのインストール時に、デフォルトの SSL サーバ証明書が生成されます。デフォルトの証明書は、テストに使用できます。お使いの環境には商用の SSL 証明書を生成してインストールする必要があります。

注意 VMware Identity Manager がロードバランサを参照している場合、SSL 証明書はロードバランサに適用されます。

開始する前に

証明書の署名要求 (CSR) を生成し、CA から有効な署名証明書を取得します。組織が CA によって署名された SSL 証明書を提供している場合には、これらの証明書を使用できます。証明書は PEM 形式である必要があります。

手順

1 管理コンソールで、[アプライアンス設定] をクリックします。

デフォルトで VA 構成が選択されます。


3 表示されるダイアログボックスで、VMware Identity Manager サーバの管理者ユーザーパスワードを入力します。

4 [証明書のインストール] を選択します。

5 [Identity Manager アプライアンス上の SSL の終了] タブで、[カスタム証明書] を選択します。

6 [SSL 証明書チェーン] テキストボックスに、ホスト、中間、ルート証明書の順に貼り付けます。

SSL 証明書は、証明書チェーン全体が正しい順序で含まれている場合にのみ機能します。各証明書について、-----BEGIN CERTIFICATE----- と -----END CERTIFICATE---- の行を含めて、これらの行の間にあるすべての行をコピーします。

証明書に FQDN ホスト名が含まれていることを確認します。

7 秘密キーを [秘密キー] テキストボックスに貼り付けます。----BEGIN RSA PRIVATE KEY と ---END RSA PRIVATEKEY の行の間にあるすべての行をコピーします。


例: 証明書の例

証明書チェーンの例

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+.........W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----



36 VMware, Inc.


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+.........O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+.........5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


秘密キーの例

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+.........1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----

SSL 証明書の追加証明書を適用するときには、証明書チェーン全体を必ず追加してください。インストールする証明書は PEM 形式である必要があります。

証明書チェーン全体を追加している場合にのみ、SSL 証明書は有効になります。各証明書について、-----BEGINCERTIFICATE----- と -----END CERTIFICATE---- の行を含み、これらの行の間にあるすべての行をコピーします。

重要 SSL 証明書、中間 CA 証明書、ルート CA 証明書の順番で、証明書チェーンを追加する必要があります。



[SSL Cert - Appliance SSL Cert]



[Intermediate/Issuing CA Cert]



[Root CA Cert ]



VMware, Inc. 37

VMware Identity Manager サービス URL の変更ユーザーは、サービスへのアクセスに使用する、VMware Identity Manager サービス URL を変更できます。たとえば、この URL をロードバランサ URL に変更できます。

手順

1 VMware Identity Manager 管理コンソールにログインします。

2 [アプライアンス設定] タブをクリックして、[VA 構成] を選択します。

3 [構成の管理] をクリックし、admin ユーザーのパスワードを使用してログインします。

4 [Identity Manager の FQDN] をクリックして、[Identity Manager の FQDN] フィールドに新しい URL を入力します。

https://<FQDN>:<port> の形式を使用します。ポートの指定はオプションです。デフォルトポートは 443 です。

たとえば、https://myservice.example.com と指定します。


次に進む前に

新しいポータルのユーザーインターフェイスを有効にします。

1 https://<VMwareIdentityManagerURL>/admin に移動して、管理コンソールにアクセスします。

2 管理コンソールで、[カタログ] タブの矢印をクリックして、[設定] を選択します。

3 左ペインで [新しいエンドユーザーポータル UI] を選択して、[新しいポータル UI を有効化] をクリックします。

コネクタ URL の変更コネクタ URL を変更するには、管理コンソールで ID プロバイダのホスト名を更新します。コネクタを ID プロバイダとして使用している場合は、コネクタ URL がログインページの URL となり、エンドユーザーに表示されます。

手順

1 VMware Identity Manager 管理コンソールにログインします。

2 [ID とアクセス管理] タブをクリックしてから、[ID プロバイダ] タブをクリックします。

3 [ID プロバイダ] ページで、更新する ID プロバイダを選択します。

4 [IdP ホスト名] フィールドで、新しいホスト名を入力します。

<hostname>:<port> の形式で指定します。ポートの指定はオプションです。デフォルトポートは 443 です。

たとえば、vidm.example.com と指定します。


Syslog サーバの有効化サービスからのアプリケーションレベルのイベントは、外部の syslog サーバにエクスポートできます。オペレーティングシステムのイベントはエクスポートされません。

多くの企業ではディスク容量が制限されているため、仮想アプライアンスは、詳細なログ履歴を保存しません。より多く

の履歴を保存したり、ログ履歴を一元管理する場所を作成したりする場合は、外部の syslog サーバを設定できます。

初期構成中に syslog サーバを指定しない場合は、後から[アプライアンス設定] - [VA 構成] - [構成の管理] - [syslog 構成]のページで構成できます。


38 VMware, Inc.

開始する前に

外部の syslog サーバをセットアップします。利用可能な任意の標準 syslog サーバを使用できます。いくつかの syslogサーバには、詳細検索機能が備わっています。

手順


2 [アプライアンス設定] タブをクリックし、左側のペインで [VA 構成] を選択して、[構成の管理] をクリックします。

3 左側のペインで [Syslog 構成] を選択します。

4 [有効化] をクリックします。

5 ログを保存する syslog サーバの IP アドレスまたは FQDN を入力します。


ログのコピーが syslog サーバに送信されます。

ログファイル情報VMware Identity Manager ログファイルは、デバッグとトラブルシューティングに役立ちます。下記にリストしたログファイルの開始点は共通です。その他のログは /opt/vmware/horizon/workspace/logs ディレクトリにあります。

表 3‑1. ログファイル

コンポーネントログファイルの場所説明

Identity Managerサービスログ

/opt/vmware/horizon/workspace/logs/horizon.log

資格、ユーザー、およびグループなどの、

VMware Identity Manager アプリケーションのアクティビティに関する情報。

Configurator ログ /opt/vmware/horizon/workspace/logs/configurator.log

Configurator が REST クライアントと Web インターフェイスから受け取る要求。

コネクタログ /opt/vmware/horizon/workspace/logs/connector.log

Web インターフェイスから受信された各要求の記録。各ログエントリには要求 URL、タイムスタンプ、例外が含まれています。同期アクションは記録されません。

Update ログ /opt/vmware/var/log/update.log

/opt/vmware/var/log/vami

VMware Identity Manager アップグレード中の更新要求に関連する出力メッセージの記録。

/opt/vmware/var/log/vami ディレクトリのファイルはトラブルシューティングに役立ちます。これらのファイル

は、アップグレード後のすべての仮想マシンにあります。

Apache Tomcatログ

/opt/vmware/horizon/workspace/logs/catalina.log

他のログファイルで記録されないメッセージの ApacheTomcat レコード。

ログ情報の収集

テストやトラブルシューティング時にログを参照することで、仮想アプライアンスのアクティビティやパフォーマンスに

関するフィードバック、および発生した問題に関する情報を確認できます。

ユーザーの環境にインストールされている各アプライアンスのログを収集します。

手順


2 [アプライアンス設定] タブを選択してから、[構成の管理] をクリックします。

3 [ログファイルの場所] をクリックし、[ログバンドルの準備] をクリックします。

情報は、ダウンロード可能な tar.gz ファイルに収集されます。


VMware, Inc. 39

4 準備ができたバンドルをダウンロードします。

次に進む前に

すべてのログを収集するには、各アプライアンスでこの操作を実行します。

アプライアンスのパスワードを管理する

仮想アプライアンスを構成したときに、管理者ユーザー、root ユーザー、sshuser のパスワードを作成しました。[アプライアンス設定] ページでこれらのパスワードを変更できます。

必ず強度の高いパスワードを作成してください。強度の高いパスワードの長さは、少なくとも 8 文字であり、大文字と小文字が含まれ、少なくとも 1 つ数字および特殊文字が含まれる必要があります。

手順

1 管理コンソールで、[アプライアンス設定] タブをクリックします。

2 [VA 構成] - [構成の管理] をクリックします。

3 管理者パスワードを変更するには、[パスワードの変更] を選択します。ルートまたは sshuser パスワードを変更するには、[システムセキュリティ] を選択します。

重要管理者ユーザーは、6 文字以上のパスワードを使用する必要があります。

4 新しいパスワードを入力します。


SMTP 設定を構成するSMTP サーバ設定を構成して、VMware Identity Manager サービスから電子メール通知を受信します。

ローカルユーザーとして作成された新規ユーザーに対して、および VMware Identity Manager サービスでパスワードがリセットされたときに、E メール通知が送信されます。

手順


2 [アプライアンス設定] タブを選択し、[SMTP] をクリックします。

3 SMTP サーバのホスト名を入力します。

例：smtp.example.com

4 SMTP サーバのポート番号を入力します。

例：25

5 （オプション）認証が必要な SMTP サーバの場合は、ユーザー名とパスワードを入力します。



40 VMware, Inc.

エンタープライズディレクトリとの統合 4ユーザーとグループをエンタープライズディレクトリから VMware Identity Manager サービスに同期するには、VMware Identity Manager をエンタープライズディレクトリに統合します。

以下のディレクトリのタイプがサポートされます。

n LDAP 経由の Active Directory

n Active Directory、統合 Windows 認証

n LDAP ディレクトリ

エンタープライズディレクトリと統合するには、次のタスクを実行します。

n VMware Identity Manager サービスでユーザーに与える属性を指定します。

n エンタープライズディレクトリと同じ種類のディレクトリを VMware Identity Manager サービスに作成し、接続の詳細を指定します。

n Active Directory または LDAP ディレクトリで使用される属性に VMware Identity Manager 属性をマップします。

n 同期するユーザーとグループを指定します。

n ユーザーとグループを同期します。

エンタープライズディレクトリを統合し、最初の同期を実行したら、構成を更新し、定期的な同期化のスケジュールを設定するか、任意の時間に同期を開始することができます。


n ディレクトリ統合に関連する重要な概念 (P. 41)

n Active Directory との連携 (P. 42)

n LDAP ディレクトリとの連携 (P. 56)

n フェイルオーバーと冗長性を構成してからディレクトリを追加 (P. 60)

ディレクトリ統合に関連する重要な概念

VMware Identity Manager サービスが Active Directory または LDAP ディレクトリ環境にどのように統合するかを理解するには、いくつかの概念が不可欠です。

コネクタ

このサービスのコンポーネントであるコネクタは、次の機能を実行します。

n ユーザーおよびグループデータを Active Directory または LDAP ディレクトリからサービスに同期します。

n ID プロバイダとして使用される場合、サービスに対してユーザーを認証します。

VMware, Inc. 41

コネクタは、デフォルト ID プロバイダになります。SAML 2.0 プロトコルをサポートするサードパーティ ID プロバイダを使用することもできます。認証タイプがコネクタでサポートされない場合、またはサードパーティの ID プロバイダが企業のセキュリティポリシーに適切な場合は、サードパーティ ID プロバイダを使用します。

注意サードパーティ ID プロバイダを使用する場合は、ユーザーデータおよびグループデータを同期するようコネクタを構成するか、またはジャストインタイムユーザープロビジョニングを構成できます。詳細については、『VMware Identity Manager の管理』の「ジャストインタイムユーザープロビジョニング」セクションを参照してください。

ディレクトリ

VMware Identity Manager サービスにはそれ自身のディレクトリの概念があり、これは環境の Active Directory または LDAP ディレクトリに対応しています。このディレクトリは、属性を使用してユーザーとグループを定義します。サービスで 1 つ以上のディレクトリを作成してから、これらのディレクトリを Active Directory または LDAP ディレクトリと同期します。サービスでは次のディレクトリタイプを作成できます。

n Active Directory

n LDAP 経由の Active Directory単一の Active Directory ドメイン環境に接続する場合には、このディレクトリタイプを作成します。LDAP 経由の Active Directory のディレクトリタイプでは、コネクタは単純なバインド認証を使用して Active Directory をバインドします。

n Active Directory、統合 Windows 認証マルチドメインまたはマルチフォレストの Active Directory ドメイン環境に接続する場合には、このディレクトリタイプを作成します。コネクタは、統合 Windows 認証を使用して Active Directory をバインドします。

単一ドメインかマルチドメインか、またドメイン間で使用される信頼のタイプなど、ユーザーの Active Directory環境によって、作成するディレクトリのタイプと数は異なります。通常の環境では、作成するディレクトリは 1 つです。

n LDAP ディレクトリ

サービスは Active Directory または LDAP ディレクトリに直接アクセスすることはできません。コネクタのみが直接アクセスできます。そのため、コネクタインスタンスとこのサービスで作成された各ディレクトリを関連付けます。

ワーカー

コネクタインスタンスをディレクトリに関連付けるときに、コネクタは、ワーカーと呼ばれる、関連付けられたディレクトリのパーティションを作成します。コネクタインスタンスには、複数のワーカーを関連付けることができます。各ワーカーは、ID プロバイダとして動作します。ワーカーごとに認証方法を定義および構成します。

コネクタは、1 つ以上のワーカーを介して Active Directory または LDAP ディレクトリとサービス間でユーザーとグループを同期します。

重要同じコネクタインスタンスでは、統合 Windows 認証タイプの Active Directory の 2 つのワーカーを使用することはできません。

セキュリティの考慮事項

VMware Identity Manager サービスにエンタープライズディレクトリを連携する場合、ユーザーパスワードの複雑さの要件やアカウントのロックアウトポリシーなどのセキュリティ設定は、エンタープライズディレクトリ内で直接設定する必要があります。VMware Identity Manager で、これらの設定を上書きすることはありません。

Active Directory との連携VMware Identity Manager と Active Directory 環境を連携して、ユーザーとグループを Active Directory からVMware Identity Manager に同期することができます。

「ディレクトリ統合に関連する重要な概念 (P. 41)」も参照してください。


42 VMware, Inc.

Active Directory 環境このサービスは、単一の Active Directory ドメイン、単一の Active Directory フォレスト内の複数のドメイン、または複数の Active Directory フォレストにわたる複数のドメインを持つ Active Directory 環境と連携できます。

単一の Active Directory ドメイン環境

単一の Active Directory 環境では、単一の Active Directory ドメインからユーザーとグループを同期できます。

この環境で、サービスにディレクトリを追加するときには、[LDAP 経由の Active Directory] オプションを選択します。

詳細については、次を参照してください。

n 「ドメインコントローラの選択（domain_krb.properties ファイル） (P. 44)」

n 「Active Directory で同期されるユーザー属性の管理 (P. 48)」

n 「ドメインに参加するために必要な権限 (P. 49)」

n 「サービスへの Active Directory 接続の構成 (P. 50)」

マルチドメイン、シングルフォレストの Active Directory 環境

マルチドメイン、シングルフォレストの Active Directory 環境では、シングルフォレスト内の複数の Active Directoryドメインからユーザーとグループを同期できます。

単一の Active Directory、統合 Windows 認証のディレクトリタイプとして、また、グローバルカタログオプションで構成された [LDAP 経由の Active Directory] ディレクトリタイプとして、この Active Directory 環境にサービスを構成できます。

n 推奨されるオプションは、単一の Active Directory、統合 Windows 認証のディレクトリタイプです。

この環境にディレクトリを追加する場合、[Active Directory（統合 Windows 認証）] オプションを選択します。






n 統合 Windows 認証がユーザーの Active Directory 環境で動作しない場合、LDAP 経由の Active Directory を作成して、グローバルカタログオプションを選択します。

グローバルカタログオプションを選択するときには、次のようないくつかの制約があります。

n グローバルカタログに複製される Active Directory のオブジェクト属性は、Active Directory スキーマで部分的な属性セット (PAS) として識別されます。これらの属性のみが、サービスによる属性マッピングで利用できます。必要な場合には、スキーマを編集して、グローバルカタログに保存されている属性を追加または削除します。

n グローバルカタログには、ユニバーサルグループのグループメンバーシップ（メンバー属性）のみが保存されます。ユニバーサルグループのみがサービスと同期されます。必要な場合、グループの範囲を、ローカルドメインまたはグローバルからユニバーサルへと変更できます。

n サービスでディレクトリを構成するときに定義したバインド DN アカウントには、Token-Groups-Global-And-Universal (TGGAU) 属性の読み取り権限が必要です。

Active Directory は、標準の LDAP クエリにポート 389 と 636 を使用します。グローバルカタログクエリには、ポート 3268 および 3269 が使用されます。

第 4 章エンタープライズディレクトリとの統合

VMware, Inc. 43

グローバルカタログ環境でディレクトリを追加するときには、構成時に次の項目を指定します。

n [LDAP 経由の Active Directory] オプションを選択します。

n [このディレクトリは DNS サービスロケーションをサポートします] オプションのチェックボックスを選択解除します。

n [このディレクトリには、グローバルカタログがあります] オプションを選択します。このオプションを選択すると、サーバのポート番号が 3268 に自動的に変更されます。また、グローバルカタログオプションを構成するときにベース DN は不要であるため、[ベース DN] テキストボックスは表示されません。

n Active Directory サーバのホスト名を追加します。

n Active Directory に SSL 経由でアクセスする必要がある場合、[このディレクトリには SSL を使用するすべての接続が必要です] オプションを選択して、表示されるテキストボックスに証明書をペーストします。このオプションを選択すると、サーバのポート番号が 3269 に自動的に変更されます。

信頼関係があるマルチフォレスト Active Directory 環境

信頼関係があるマルチフォレスト Active Directory 環境では、ドメイン間で双方向に信頼するフォレスト全体で複数のActive Directory ドメインのユーザーとグループを同期できます。

この環境にディレクトリを追加する場合、[Active Directory（統合 Windows 認証）] オプションを選択します。






信頼関係がないマルチフォレスト Active Directory 環境

信頼関係がないマルチフォレスト Active Directory 環境では、ドメイン間に信頼関係がないフォレスト全体で複数のActive Directory ドメインのユーザーとグループを同期できます。この環境では、各フォレストに対して 1 つディレクトリを作成し、サービス内で複数のディレクトリを作成します。

サービスで作成するディレクトリのタイプは、フォレストによって変わります。複数のドメインがあるフォレストの場合、

[Active Directory（統合 Windows 認証）] オプションを選択します。単一ドメインのフォレストでは、[LDAP 経由のActive Directory] オプションを選択します。






ドメインコントローラの選択（domain_krb.properties ファイル）domain_krb.properties ファイルは、DNS サービスロケーション（SRV レコード）ルックアップが有効なディレクトリに対し、どのドメインコントローラを使用するかを決定します。このファイルには、各ドメインのドメインコントローラのリストが含まれます。ファイルは最初にコネクタによって作成されますが、その後はユーザーが管理する必要が

あります。このファイルの設定は、DNS サービスロケーション (SRV) ルックアップより優先します。

次のタイプのディレクトリは、DNS サービスロケーションルックアップが有効になっています。

n LDAP 経由の Active Directory で、[このディレクトリは DNS サービスロケーションをサポートします] オプションが選択されている場合に有効です。


44 VMware, Inc.

n Active Directory（統合 Windows 認証）では、DNS サービスロケーションルックアップは常に有効です。

DNS サービスロケーションルックアップが有効なディレクトリを作成すると、まず仮想マシンの /usr/local/horizon/conf ディレクトリに domain_krb.properties ファイルが自動的に作成され、各ドメインのドメインコントローラがファイルに自動的に記載されます。ファイルに記載するため、コネクタは、コネクタと同じサイトにあるドメインコントローラを探し、アクセス可能で応答が最も速いドメインコントローラを 2 つ選択します。

DNS サービスロケーションルックアップを有効にしたディレクトリを作成したり、新しいドメインを統合 Windows 認証ディレクトリへ追加すると、新しいドメインおよびそのドメインのドメインコントローラのリストがファイルに追加されます。

domain_krb.properties ファイルを編集することにより、デフォルトの設定をいつでも変更できます。ベストプラクティスとして、ディレクトリを作成したら domain_krb.properties ファイルを表示し、リストに含まれるドメインコントローラが構成に最適であることを確認してください。グローバルな Active Directory 展開環境で、地理的に分散する複数のドメインコントローラを使用する場合は、Active Directory との高速通信を確保するため、コネクタに物理的に近い場所にあるドメインコントローラを使用します。

その他の変更を行う場合も、このファイルを手動で更新する必要があります。次のルールが適用されます。

n domain_krb.properties ファイルは、コネクタを含む仮想マシン内で作成されます。追加のコネクタが展開されていない一般的な環境では、VMware Identity Manager サービスの仮想マシンにファイルが作成されます。ディレクトリに追加のコネクタを使用している場合は、コネクタの仮想マシンにファイルが作成されます。1 台の仮想マシンが保持できる domain_krb.properties ファイルは 1 つのみです。

n DNS サービスロケーションルックアップが有効なディレクトリを作成すると、まずファイルが作成され、各ドメインのドメインコントローラがファイルに自動で記載されます。

n 各ドメインのドメインコントローラは、優先度が高い順に記載されます。Active Directory への接続を試行する際に、コネクタはリストの一番最初に記載されているドメインコントローラを使用します。このドメインコントローラにアクセスできない場合は、リストで 2 番目に表示されているドメインコントローラから順に使用していきます。

n DNS サービスロケーションルックアップが有効になっている新しいディレクトリを作成するとき、またはドメインを統合 Windows 認証ディレクトリに追加するときにのみ、ファイルが更新されます。新しいドメイン、およびそのドメインのドメインコントローラのリストがファイルに追加されます。

ファイルにドメインのエントリがすでに存在する場合は、更新されません。たとえば、ディレクトリを作成し、その

後に削除した場合、元のドメインエントリがファイルに残り、更新されません。

n その他の状況で、ファイルの自動更新が行われることはありません。たとえば、ユーザーがディレクトリを削除した

場合でも、ドメインエントリはファイルから削除されません。

n ファイル内に記載のドメインコントローラのいずれかにアクセスできない場合は、ファイルを編集して削除します。

n ドメインエントリを手動で追加または編集した場合、その変更内容が上書きされることはありません。

domain_krb.properties ファイルの編集については、「domain_krb.properties ファイルの編集 (P. 46)」を参照してください。

重要 /etc/krb5.conf ファイルの内容は domain_krb.properties ファイルと一貫している必要があります。domain_krb.properties ファイルを更新するときは、必ず krb5.conf ファイルも更新するようにします。詳細については「domain_krb.properties ファイルの編集 (P. 46)」およびナレッジベースの記事 KB2091744 を参照してください。

domain_krb.properties ファイルへの自動入力に使用されるドメインコントローラの選択方法

domain_krb.properties ファイルに自動入力するため、コネクタがドメインコントローラを選択する際は、最初にIP アドレスとネットマスクに基づいて、コネクタが存在するサブネットを検出します。次に、Active Directory 構成を使用してサブネットのサイトを特定し、サイトのドメインコントローラのリストを取得します。さらに、リストのフィルタリングによって適切なドメインを絞り込み、その中から最も高速に応答するドメインコントローラを 2 つ選び出します。


VMware, Inc. 45

https://kb.vmware.com/kb/2091744

最も近い場所にあるドメインコントローラを検出するための、VMware Identity Manager の要件は次のとおりです。

n コネクタのサブネットが Active Directory 構成内に存在するか、またはサブネットが runtime-config.properties ファイルに指定されている必要があります。「デフォルトで選択されたサブネットのオーバーライド (P. 46)」を参照してください。

サブネットはサイトを判断するために使用されます。

n Active Directory 構成がサイトを認識する必要があります。

サブネットを検出できない場合、または Active Directory 構成がサイトを認識しない場合、DNS サービスロケーションルックアップを使用してドメインコントローラを検出し、アクセス可能なドメインコントローラがファイルに入力されます。これらのドメインコントローラとコネクタが地理的に離れている場合があることに注意してください。このようなときは、Active Directory への通信で遅延やタイムアウトが発生することがあります。その場合には、domain_krb.properties ファイルを手動で編集して、各ドメインに適切なドメインコントローラを指定します。「domain_krb.properties ファイルの編集 (P. 46)」を参照してください。

domain_krb.properties ファイルのサンプルexample.com=host1.example.com:389,host2.example.com:389

デフォルトで選択されたサブネットのオーバーライド

domain_krb.properties ファイルを自動入力するため、コネクタは同一サイトのドメインコントローラを検出しようと試みます。このため、コネクタと Active Directory の間にわずかな遅延が生じます。

コネクタはサイトを検出するため、IP アドレスとネットマスクに基づいてコネクタが存在するサブネットを検出します。次に、Active Directory 構成を使用して、そのサブネットのサイトを特定します。仮想マシンのサブネットが ActiveDirectory に含まれていない場合、または自動選択されたサブネットをオーバーライドしたい場合は、runtime-config.properties ファイルにサブネットを指定します。

手順

1 VMware Identity Manager 仮想マシンに root ユーザーとしてログインします。

注意ディレクトリに追加のコネクタを使用している場合は、コネクタの仮想マシンにログインします。

2 /usr/local/horizon/conf/runtime-config.properties ファイルを編集して、次の属性を追加します。

siteaware.subnet.override=<subnet>

<Subnet> は、使用したいドメインコントローラを含むサイトのサブネットです。例：

siteaware.subnet.override=10.100.0.0/20

3 ファイルを保存して閉じます。

4 サービスを再起動します。


domain_krb.properties ファイルの編集

/usr/local/horizon/conf/domain_krb.properties ファイルは、DNS サービスロケーションルックアップが有効になっているディレクトリに使用するドメインコントローラを決定します。いつでもファイルを編集して、任意のドメインのドメインコントローラリストの変更や、ドメインエントリの追加または削除ができます。ユーザーが加えた変更はオーバーライドされません。

このファイルは、最初にコネクタにより作成され、自動入力されます。次のようなシナリオでは、手動でファイルを更新

する必要があります。

n デフォルトで選択されたドメインコントローラが構成に最適でない場合は、ファイルを編集して、使用するドメインコントローラを指定します。


46 VMware, Inc.

n ディレクトリを削除する場合は、対応するドメインエントリをファイルから削除します。

n ファイルに含まれるいずれかのドメインコントローラにアクセスできない場合は、ファイルから削除します。

「ドメインコントローラの選択（domain_krb.properties ファイル） (P. 44)」も参照してください。

手順

1 VMware Identity Manager 仮想マシンに root ユーザーとしてログインします。

注意ディレクトリに追加のコネクタを使用している場合は、コネクタの仮想マシンにログインします。

2 ディレクトリを /usr/local/horizon/conf に変更します。

3 domain_krb.properties ファイルを編集して、ホスト値にドメインのリストを追加または編集します。

次の形式を使用します。

<domain>=<host>:<port>,<host2>:<port>,<host3>:<port>

例：

example.com=examplehost1.example.com:389,examplehost2.example.com:389

リスト内のドメインコントローラを優先度順に並べます。Active Directory への接続を試行する際に、コネクタはリストの一番最初に記載されているドメインコントローラを使用します。このドメインコントローラにアクセスできない場合は、リストで 2 番目に表示されているドメインコントローラから順に使用していきます。

重要ドメイン名は小文字にする必要があります。

4 次のコマンドを使用して、domain_krb.properties ファイルの所有者を horizon に変更し、グループを wwwに変更します。

chown horizon:www /usr/local/horizon/conf/domain_krb.properties

5 サービスを再起動します。


次に進む前に

domain_krb.properties ファイルを編集してから /etc/krb5.conf ファイルを編集します。krb5.conf ファイルの内容は domain_krb.properties ファイルと一貫している必要があります。

1 /etc/krb5.conf ファイルを編集し、realms セクションのドメインとホストの情報を指定する値に、/usr/local/horizon/conf/domain_krb.properties ファイルで使用されているものと同じ値を指定します。ポート番号を指定する必要はありません。たとえば、domain_krb.properties ファイルにexample.com=examplehost.example.com:389 のドメインエントリがある場合、krb5.conf ファイルを次のように更新します。

[realms]GAUTO-QA.COM = {auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-QA\.COM/GAUTO2QA/


VMware, Inc. 47

auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/auth_to_local = DEFAULT kdc = examplehost.example.com}

注意 kdc エントリは、複数入力することができます。ただし、ほとんどの場合、kdc の値は 1 つだけであるため、これは必須ではありません。追加の kdc の値を定義する場合は、ドメインコントローラを定義する kdc のエントリを 1 行につき 1 つ指定します。

2 Workspace サービスを再起動します。


ナレッジベースの記事 KB2091744 も参照してください。

domain_krb.properties のトラブルシューティング

domain_krb.properties ファイルのトラブルシューティングでは、次の情報を使用します。

「ドメイン解決エラー」の問題

domain_krb.properties ファイルにドメインのエントリがすでに含まれているときに、同じドメインに異なるタイプの新しいディレクトリを作成しようとすると、「ドメイン解決エラー」が発生します。新しいディレクトリを作成する前

に、domain_krb.properties ファイルを編集して、ドメインエントリを手動で削除する必要があります。

ドメインコントローラにアクセスできない問題

ドメインエントリが domain_krb.properties ファイルに追加されると、自動的に更新されなくなります。ファイルに表示されるいずれかのドメインコントローラにアクセスできなくなった場合は、手動でファイルを編集して削除します。

Active Directory で同期されるユーザー属性の管理VMware Identity Manager サービスディレクトリのセットアップ時に、VMware Identity Manager ディレクトリと同期するユーザーを指定するために Active Directory のユーザー属性とフィルタを選択します。管理コンソールの [ID とアクセス管理] タブから [セットアップ] > [ユーザー属性] にアクセスして、同期するユーザー属性を変更できます。

[ユーザー属性] ページで実行および保存された変更は、VMware Identity Manager ディレクトリの [マップされた属性]ページに追加されます。属性の変更は、Active Directory を次回同期するときに、ディレクトリで更新されます

[ユーザー属性] ページには、Active Directory 属性にマッピングできるデフォルトのディレクトリ属性が表示されます。必須の属性を選択します。ディレクトリと同期するその他の Active Directory 属性を追加することができます。属性を追加するときには、入力する属性名で大文字と小文字が区別されることに注意してください。たとえば、address、Address、および ADDRESS は個別の属性です。

表 4‑1. ディレクトリと同期するデフォルトの Active Directory 属性

VMware Identity Manager ディレクトリの属性名 Active Directory 属性とのデフォルトのマッピング

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeId employeeID

domain canonicalName。オブジェクトの完全修飾ドメイン名を追加します。

disabled (external user disabled) userAccountControl。 UF_Account_Disable でフラグが設定されます

アカウントが無効になると、ユーザーはログインしてアプリケーション

とリソースにアクセスすることができません。ユーザーに使用資格が付

与されているリソースはアカウントから削除されないため、フラグがア

カウントから削除されても、ユーザーはログインして使用資格が付与さ

れているリソースにアクセスすることができます。

phone telephoneNumber


48 VMware, Inc.


表 4‑1. ディレクトリと同期するデフォルトの Active Directory 属性 (続き)

VMware Identity Manager ディレクトリの属性名 Active Directory 属性とのデフォルトのマッピング

lastName sn

firstName givenName

email mail

userName sAMAccountName.

ディレクトリと同期する属性を選択する

Active Directory と同期するように VMware Identity Manager ディレクトリをセットアップするときに、ディレクトリと同期するユーザー属性を指定します。ディレクトリをセットアップする前に、[ユーザー属性] ページで、必要となるデフォルト属性を指定し、Active Directory 属性にマッピングするその他の属性を追加できます。

ディレクトリが作成される前に [ユーザー属性] ページを構成するときに、必須にするデフォルト属性を変更したり、属性を必須としてマークしたり、カスタム属性を追加することができます。

ディレクトリが作成された後は、必須属性の変更や、カスタム属性の削除ができます。ある属性を必須属性に変更するこ

とはできません。

ディレクトリと同期する別の属性を追加するときには、ディレクトリが作成された後に、ディレクトリの [マップングされた属性] ページに移動して、これらの属性を Active Directory の属性にマッピングします。

重要 XenApp リソースと VMware Identity Manager の同期を計画している場合は、[distinguishedName] を必須属性にする必要があります。これは、VMware Identity Manager ディレクトリを作成する前に指定する必要があります。

手順

1 管理コンソールの [ID とアクセス管理] タブで、[管理] - [ユーザー属性] を選択します。

2 [デフォルト属性] セクションで、必須属性のリストを確認して、必須にする必要がある属性が反映されるように必要な変更を加えます。

3 [属性] セクションで、VMware Identity Manager ディレクトリの属性名をリストに追加します。


デフォルト属性のステータスが更新され、追加した属性が、ディレクトリの [マップングされた属性] リストに追加されます。

5 ディレクトリが作成された後に、[管理] - [ディレクトリ] ページに移動して、ディレクトリを選択します。

6 [同期設定] - [マップングされた属性]をクリックします。

7 追加した属性のドロップダウンメニューで、マッピング先の Active Directory 属性を選択します。


ディレクトリは、Active Directory と次回同期されるときに更新されます。

ドメインに参加するために必要な権限

状況に応じて、VMware Identity Manager コネクタをドメインに参加させる必要があります。LDAP ディレクトリ経由の Active Directory については、ディレクトリを作成した後でドメインを参加させることができます。Active Directory（統合 Windows 認証）タイプのディレクトリについては、ディレクトリを作成すると自動的にコネクタがドメインに参加します。いずれの場合も、証明書の入力を求められます。

コネクタをドメインに参加させるには、Active Directory の「AD ドメインにコンピュータを参加させる」権限を含む証明書が必要です。これは、次の権限を使用して Active Directory に構成されます。

n コンピュータオブジェクトの作成


VMware, Inc. 49

n コンピュータオブジェクトの削除

ドメインに参加すると、独自の OU を指定しない限り、Active Directory のデフォルトの場所にコンピュータオブジェクトが作成されます。

ドメインに参加する権限がない場合は、これらのの手順に従ってドメインに参加します。

1 Active Directory 内で企業ポリシーで指定された場所にコンピュータオブジェクトを作成するよう、Active Directoryの管理者に依頼します。コネクタのホスト名を指定します。必ず完全修飾ドメイン名（例：server.example.com）

を指定してください。

ヒントホスト名は、管理コンソールの [コネクタ] ページで [ホスト名] 列に表示されます。[コネクタ] ページを表示するには、[ID とアクセス管理] - [セットアップ] - [コネクタ] をクリックします。

2 コンピュータオブジェクトが作成されたら、VMware Identity Manager 管理コンソールで任意のドメインユーザーアカウントを使用してドメインに参加させます。

[コネクタ] ページでは [ドメインに参加] コマンドを使用できます。このページにアクセスするには、[ID とアクセス管理]- [セットアップ] - [コネクタ] をクリックします。


[ドメイン] 参加する Active Directory ドメインを選択または入力します。必ず完全修飾ドメイン名を入力します。たとえば、

[server.example.com] のように指定します。

[ドメインユーザー] Active Directory ドメインにシステムを参加させる権限を持つActive Directory ユーザーの名前。

[ドメインパスワード] ユーザーのパスワード。

[組織単位 (OU)] （オプション）コンピュータオブジェクトの組織単位 (OU)。このオプションによって、デフォルトのコンピュータの OU ではなく、指定された OU にコンピュータオブジェクトが作成されます。例、[ou=testou,dc=test,dc=example,dc=com]。

サービスへの Active Directory 接続の構成管理コンソールで、Active Directory に接続するのに必要な情報を指定し、VMware Identity Manager ディレクトリと同期するユーザーおよびグループを選択します。

Active Directory では、LDAP 経由の Active Directory または Active Directory（統合 Windows 認証）の接続オプションを使用できます。LDAP 経由の Active Directory 接続では、DNS サービスロケーションルックアップがサポートされます。Active Directory（統合 Windows 認証）で、参加するドメインを構成します。

開始する前に

n [ユーザー属性] ページで、必須の属性を選択し、必要に応じてその他の属性を追加します。「ディレクトリと同期する属性を選択する (P. 49)」を参照してください。

重要 XenApp リソースと VMware Identity Manager の同期を計画している場合は、[distinguishedName] を必須属性にする必要があります。この選択は、ディレクトリを作成する前に行う必要があります。ディレクトリ作成

後は属性を必須属性に変更できません。

n Active Directory から同期する Active Directory のグループとユーザーのリスト。

n LDAP 経由の Active Directory の場合、ベース DN、バインド DN、およびバインド DN パスワードなどの情報が必要となります。



50 VMware, Inc.

n Active Directory（統合 Windows 認証）では、ドメインのバインドユーザー UPN アドレスとパスワードなどの情報が必要となります。


n Active Directory が SSL または STARTTLS 経由のアクセスを必要とする場合は、Active Directory ドメインコントローラのルート CA 証明書が必要となります。

n Active Directory（統合 Windows 認証）では、マルチフォレスト Active Directory を構成しており、ドメインローカルグループに異なるフォレストのドメインのメンバーが含まれる場合、バインドユーザーをドメインローカルグループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメインローカルグループに含まれません。

手順

1 管理コンソールで、[ID とアクセス管理] タブをクリックします。

2 [ディレクトリ] ページで、[ディレクトリの追加] をクリックします。

3 この VMware Identity Manager ディレクトリの名前を入力します。


VMware, Inc. 51

4 環境内の Active Directory のタイプを選択して、接続情報を構成します。


LDAP 経由の Active Directory a [コネクタの同期] フィールドで、Active Directory との同期に使用するコネクタを選択します。

b この Active Directory をユーザー認証に使用する場合は、[認証] フィールドで、[はい] をクリックします。

ユーザー認証にサードパーティの ID プロバイダが使用されている場合、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

c [ディレクトリ検索属性] フィールドで、ユーザー名を含むアカウント属性を選択します。

d Active Directory が DNS サービスロケーションルックアップを使用する場合は、次のように選択します。

n [サービスロケーション] セクションで、[このディレクトリは DNS サービスロケーションをサポートします] チェックボックスを選択します。

ディレクトリの作成時に、ドメインコントローラのリストが自動入力されるdomain_krb.properties ファイルが作成されます。「ドメインコントローラの選択（domain_krb.properties ファイル） (P. 44)」を参照してください。

n Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です]チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。

証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「ENDCERTIFICATE」の行を含んでいることを確認します。注意 Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。

e Active Directory が DNS サービスロケーションルックアップを使用しない場合は、次のように選択します。

n [サービスロケーション] セクションで、[このディレクトリは DNS サービスロケーションをサポートします] チェックボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。

グローバルカタログとしてディレクトリを構成するには、「Active Directory環境 (P. 43)」の「マルチドメイン、シングルフォレストの Active Directory環境」セクションを参照してください。

n Active Directory が SSL 経由のアクセスを必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] フィールドにペーストします。

証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「ENDCERTIFICATE」の行を含んでいることを確認します。注意 Active Directory が SSL を必要とする場合、証明書がなければディレクトリを作成できません。

f [ベース DN] フィールドに、アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。

g [バインド DN] フィールドに、ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。


h バインドパスワードを入力したら、[接続をテスト] をクリックして、ディレクトリが Active Directory に接続できることを確認します。

Active Directory（統合 Windows 認証） a [コネクタの同期] フィールドで、Active Directory との同期に使用するコネクタを選択します。


52 VMware, Inc.


b この Active Directory をユーザー認証に使用する場合は、[認証] フィールドで、[はい] をクリックします。

ユーザー認証にサードパーティの ID プロバイダが使用されている場合、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory接続を構成したら、[ID とアクセス管理] > [管理] > [ID プロバイダ] の順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

c [ディレクトリ検索属性] フィールドで、ユーザー名を含むアカウント属性を選択します。

d Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには STARTTLS を使用するすべての接続が必要] チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL証明書] フィールドにペーストします。

証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

ディレクトリに複数のドメインが含まれる場合は、ルート CA 証明書をすべてのドメインに 1 つずつ追加していきます。注意 Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。

e 参加する Active Directory ドメインの名前を入力します。ドメインへの参加権限を持つユーザーの名前とパスワードを入力します。詳細については、「ドメイ

ンに参加するために必要な権限 (P. 49)」を参照してください。f [バインドユーザー UPN] フィールドで、ドメインで認証できるユーザーの [ユー

ザープリンシパル名] を入力します。たとえば、[email protected] のように入力します。


g バインドユーザーのパスワードを入力します。

5 [保存して次へ] をクリックします。

ドメインリストのページが表示されます。

6 LDAP 経由の Active Directory では、ドメインにチェックマークが付けられて表示されます。

[Active Directory（統合 Windows 認証）] で、この Active Directory 接続に関連付ける必要があるドメインを選択します。

注意ディレクトリが作成された後に信頼するドメインを追加する場合、サービスは新規に追加されたドメインを自動的に検出しません。サービスによるドメインの検出を有効にするには、コネクタをドメインから切り離してから、

ドメインに再度参加させる必要があります。コネクタがドメインに再度参加すると、信頼するドメインがリストに表

示されます。


7 VMware Identity Manager ディレクトリの属性名が正しい Active Directory 属性にマッピングされていることを確認し、必要に応じて変更して、[次へ] をクリックします。


VMware, Inc. 53

8 Active Directory から VMware Identity Manager ディレクトリに同期するグループを選択します。


グループ DN を指定グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。

a [+] をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。重要入力したベース DN の配下にあるグループ DN を指定します。グループDN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。

b [グループの検索] をクリックします。

[同期するグループ] 列には、DN に含まれるグループの数が表示されます。c DN に含まれるすべてのグループを選択する場合は [すべてを選択] をクリックし

ます。グループを個別に選択する場合は [選択] をクリックし、同期対象となる特定のグループを選択します。

注意グループを同期する際、Active Directory のプライマリグループである DomainUsers に属していないユーザーの同期は行われません。

ネストされたグループメンバーを同期 [ネストされたグループメンバーを同期] オプションは、デフォルトで有効になっています。このオプションが有効になっているときは、選択したグループに直接属するす

べてのユーザーと、その下にネストされたグループに属するすべてのユーザーが同期

されます。ネストされたグループ自体は同期されないことに注意してください。同期

されるのは、ネストされたグループに属するユーザーのみです。

VMware Identity Manager ディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。

[ネストされたグループメンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されま

す。その下のネストされたグループに属するユーザーは同期されません。グループツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory構成では、このオプションを無効にすると、時間を短縮できます。このオプションを

無効にする場合は、同期するユーザーが属するグループをすべて選択するようにして

ください。


10 必要に応じて、同期するユーザーを追加で指定します。

a [+] をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。

重要入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。

b （オプション）ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。

フィルタリングの基準となるユーザー属性、クエリルールおよび値を選択します。


12 ページを確認して、ディレクトリに同期するユーザーとグループの数や、同期スケジュールを確認します。


13 [ディレクトリを同期] をクリックして、ディレクトリとの同期を開始します。

Active Directory への接続が確立され、ユーザーとグループは Active Directory から VMware Identity Manager ディレクトリに同期されます。バインド DN ユーザーは、デフォルトで VMware Identity Manager の管理者ロールを持っています。


54 VMware, Inc.

次に進む前に

n DNS サービスロケーションをサポートするディレクトリを作成した場合は、domain_krb.properties ファイルが作成され、ドメインコントローラのリストがこのファイルに自動的に入力されています。ファイルを表示して、ドメインコントローラのリストの確認や編集を行います。「ドメインコントローラの選択（domain_krb.propertiesファイル） (P. 44)」を参照してください。

n 認証方法をセットアップします。コネクタを認証にも使用している場合、ユーザーとグループがディレクトリに同期

された後で、追加のコネクタ認証をセットアップできます。サードパーティの認証 ID プロバイダを使用している場合は、コネクタでその ID プロバイダを構成します。

n デフォルトのアクセスポリシーを確認します。デフォルトのアクセスポリシーでは、すべてのネットワーク範囲にあるすべてのアプライアンスに対し、Web ブラウザへのアクセスには 8 時間のセッションタイムアウト、クライアントアプリケーションへのアクセスには 2,160 時間（90日間）のセッションタイムアウトが設定されています。デフォルトのアクセスポリシーは変更できます。また、Web アプリケーションをカタログに追加するときに、新しいアクセスポリシーを作成することができます。

n 管理コンソール、ユーザーポータルページおよびログイン画面にカスタムブランディングを適用します。

Active Directory パスワードの変更をユーザーに許可するWorkspace ONE ポータルまたはアプリケーションから、いつでも Active Directory のパスワードを変更することをユーザに許可できます。パスワードの有効期限が切れた場合、または Active Directory 管理者がパスワードをリセットし、次回のログインでパスワードの変更をユーザーに要求する場合、ユーザーは VMware Identity Manager ログインページから Active Directory パスワードをリセットすることもできます。

[ディレクトリの設定] ページの [パスワードの変更を許可] オプションを選択することによって、このオプションをディレクトリ単位で有効にします。

ユーザーは、右上隅にある名前をクリックし、ドロップダウンメニューから [アカウント] を選択し、[パスワードの変更]リンクをクリックして、Workspace ONE ポータルにログインするときのパスワードを変更できます。Workspace ONEアプリケーションでは、3 つの棒のメニューアイコンをクリックし、[パスワード] を選択して、パスワードを変更できます。

有効期限が切れたパスワードまたは管理者によってリセットされた Active Directory のパスワードは、ログインページから変更できます。ユーザーが有効期限の切れたパスワードを使用してログインしようとすると、パスワードをリセット

するように要求されます。ユーザーは新しいパスワードと古いパスワードの両方を入力する必要があります。

新しいパスワードの要件は、Active Directory パスワードポリシーによって決定されます。また、許可されるパスワード入力の試行回数も、Active Directory パスワードポリシーによって決定されます。

以下の制約が適用されます。

n 別のスタンドアロンコネクタ仮想アプライアンスを使用する場合、[パスワードの変更を許可] オプションは、コネクタバージョン 2016.11.1 以降でのみ使用できます。

n ディレクトリを VMware Identity Manager にグローバルカタログとして追加した場合、[パスワードの変更を許可] オプションは利用できません。ディレクトリは、LDAP 経由の Active Directory または統合 Windows 認証として、ポート 389 または 636 を使用して追加できます。

n バインド DN ユーザーのパスワードは、有効期限が切れた場合、または Active Directory 管理者がリセットした場合でも、VMware Identity Manager からリセットすることはできません。


n ログイン名がマルチバイト文字（非 ASCII 文字）から成るユーザーのパスワードは、VMware Identity Manager からリセットすることができません。

開始する前に

n ポート 464 が VMware Identity Manager からドメインコントローラに開いている必要があります。


VMware, Inc. 55

手順


2 [ディレクトリ] タブで、ディレクトリをクリックします。

3 [パスワードの変更を許可] セクションで、[パスワードの変更を有効にする] チェックボックスを選択します。

4 [バインドユーザーの詳細] セクションにバインド DN パスワードを入力し、[保存] をクリックします。

LDAP ディレクトリとの連携エンタープライズ LDAP ディレクトリと VMware Identity Manager を連携して、ユーザーとグループを LDAP ディレクトリから VMware Identity Manager サービスに同期することができます。

「ディレクトリ統合に関連する重要な概念 (P. 41)」も参照してください。

LDAP ディレクトリ統合の制限LDAP ディレクトリの統合機能には現在次の制限が適用されます。

n 単一ドメインの LDAP ディレクトリ環境のみを統合することができます。

LDAP ディレクトリから複数のドメインを統合するには、ドメインごとに追加の VMware Identity Manager ディレクトリを 1 つずつ作成する必要があります。

n VMware Identity Manager ディレクトリのタイプが LDAP ディレクトリの場合、次の認証方法はサポートされません。

n Kerberos 認証

n RSA Adaptive Authentication

n サードパーティ ID プロバイダとしての ADFS

n SecurID

n Vasco および SMS パスコードサーバによる Radius 認証

n LDAP ドメインに参加することはできません。

n VMware Identity Manager ディレクトリのタイプが LDAP ディレクトリの場合、View または Citrix 公開リソースとの統合はサポートされません。

n ユーザー名にスペースを含めることはできません。ユーザー名にスペースが含まれていると、ユーザーは同期されま

すが、資格を利用できません。

n Active Directory と LDAP ディレクトリの両方を追加する計画の場合は、必須のマークを付けることができるuserName を除いて、[ユーザー属性] ページで属性には必須のマークが付いていないことを確認してください。[ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されます。属性に必須のマークが付いている場合は、その属性を持たないユーザーは VMware Identity Manager サービスに同期されません。

n LDAP ディレクトリに同じ名前のグループが複数ある場合は、VMware Identity Manager サービスでグループに一意の名前を指定する必要があります。同期するグループを選択するときに名前を指定することができます。

n ユーザーが有効期限の切れたパスワードをリセットするオプションは利用できません。

n domain_krb.properties ファイルはサポートされません。


56 VMware, Inc.

LDAP ディレクトリとサービスの統合エンタープライズ LDAP ディレクトリと VMware Identity Manager を連携して、ユーザーとグループを LDAP ディレクトリから VMware Identity Manager サービスに同期することができます。

LDAP ディレクトリを統合するには、対応する VMware Identity Manager ディレクトリを作成し、ユーザーとグループを LDAP ディレクトリから VMware Identity Manager ディレクトリに同期します。後続の更新のために定期的な同期スケジュールを設定することができます。

また、ユーザーのために同期させる LDAP 属性を選択し、VMware Identity Manager 属性にマップします。

LDAP ディレクトリ構成はデフォルトのスキーマをベースにすることができますが、カスタムのスキーマを作成することもできます。また、カスタムの属性を定義することもできます。VMware Identity Manager で、LDAP ディレクトリを検索してユーザーまたはグループオブジェクトを取得できるようにするには、LDAP ディレクトリに適用可能な LDAP検索フィルタおよび属性名を指定する必要があります。

具体的には、次の情報を指定する必要があります。

n グループ、ユーザーおよびバインドユーザーを取得するための LDAP 検索フィルタ

n グループメンバーシップ、UUID および識別名のための LDAP 属性名

LDAP ディレクトリの統合機能には特定の制限が適用されます。「LDAP ディレクトリ統合の制限 (P. 56)」を参照してください。

開始する前に

n 別の外部のコネクタ仮想アプライアンスを使用する場合、LDAP ディレクトリを統合する機能は、コネクタバージョン 2016.6.1 以降でのみ使用できます。

n [ID とアクセス管理] - [セットアップ] - [ユーザー属性] ページの属性を確認し、同期する属性を追加します。これらの VMware Identity Manager 属性は、後で LDAP ディレクトリを作成するときに、LDAP ディレクトリ属性にマッピングします。これらの属性はディレクトリ内のユーザーに対して同期されます。

注意ユーザー属性を変更する場合は、サービスの他のディレクトリに対する影響を考慮してください。ActiveDirectory と LDAP ディレクトリの両方を追加する計画の場合は、必須のマークを付けることができる [userName]を除いて、属性には必須のマークが付いていないことを確認してください。[ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されます。属性に必須のマークが付いている場合は、その属性を持たないユーザーは

VMware Identity Manager サービスに同期されません。

n バインド DN ユーザーアカウント。有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。

n LDAP ディレクトリでは、ユーザーとグループの UUID はプレーンテキスト形式である必要があります。

n LDAP ディレクトリには、すべてのユーザーおよびグループに対するドメイン属性が存在する必要があります。

VMware Identity Manager ディレクトリを作成するときは、この属性を VMware Identity Manager の [domain]属性にマップします。

n ユーザー名にスペースを含めることはできません。ユーザー名にスペースが含まれていると、ユーザーは同期されま

すが、資格を利用できません。

n 証明書認証を使用する場合、ユーザーは userPrincipalName とメールアドレス属性の値を持っている必要があります。

手順


2 [ディレクトリ] ページで、[ディレクトリを追加] をクリックして [LDAP ディレクトリを追加] を選択します。


VMware, Inc. 57

3 [LDAP ディレクトリを追加] ページに必要な情報を入力します。


ディレクトリ名 VMware Identity Manager ディレクトリの名前。

ディレクトリの同期と認証 a [コネクタを同期] フィールドで、LDAP ディレクトリからVMware Identity Manager ディレクトリにユーザーとグループを同期するためのコネクタを選択します。

コネクタコンポーネントは、デフォルトでは VMware Identity Manager サービスで常に利用できます。このコネクタは、ドロップダウンリストに表示されます。高可用性を実現するために複数の VMware Identity Manager アプライアンスを展開すると、それぞれのコネクタコンポーネントがリストに表示されます。

LDAP ディレクトリ用の個別のコネクタは必要ありません。コネクタは、ActiveDirectory であるか LDAP ディレクトリであるかにかかわらず複数のディレクトリをサポートすることができます。

追加のコネクタが必要なシナリオについては、『VMware Identity Manager インストールガイド』の「追加コネクタアプライアンスのインストール」を参照してください。

b この LDAP ディレクトリを使用してユーザー認証を行う場合は、[認証] フィールドで [はい] を選択します。

サードパーティの ID プロバイダを使用してユーザーを認証する場合は、[いいえ] を選択します。ユーザーとグループを同期するようにディレクトリ接続を追加したら、[ID とアクセス管理] - [管理] - [ID プロバイダ] ページの順に移動して、認証に使用するサードパーティの ID プロバイダを追加します。

c [ディレクトリ検索属性] フィールドで、ユーザー名に使用する LDAP ディレクトリ属性を指定します。属性が表示されない場合は、[カスタム] を選択して、属性名を入力します。たとえば、cn にように入力します。

サーバの場所 LDAP ディレクトリサーバのホスト名とポート番号を入力します。サーバホストには、完全修飾ドメイン名または IP アドレスのいずれかを指定することができます。たとえば、myLDAPserver.example.com または 100.00.00.0 のように入力します。

ロードバランサの背後にサーバのクラスタがある場合は、代わりにロードバランサの情報を入力します。

LDAP 構成 VMware Identity Manager が LDAP ディレクトリのクエリに使用することができる LDAP 検索フィルタおよび属性を指定します。デフォルト値はコア LDAP スキーマに基づいて提供されます。

[LDAP クエリ]n [グループの取得]：グループオブジェクトを取得するための検索フィルタ。

例：(objectClass=group)n [バインドユーザーの取得]：バインドユーザーオブジェクト、つまりディレク

トリにバインドすることができるユーザーを取得するための検索フィルタ。

例：(objectClass=person)n [ユーザーの取得]：同期するユーザーを取得するための検索フィルタ。

例：(&(objectClass=user)(objectCategory=person))

[属性]n [メンバーシップ]：グループのメンバーを定義するために LDAP ディレクトリで

使用される属性。

例：membern [オブジェクト UUID]：ユーザーまたはグループの UUID を定義するために LDAP

ディレクトリで使用される属性。

例：entryUUIDn [識別名]：LDAP ディレクトリでユーザーまたはグループの識別名に使用される

属性。

例：entryDN


58 VMware, Inc.


証明書 LDAP ディレクトリが SSL 経由のアクセスを必要とする場合は、[このディレクトリには SSL を使用するすべての接続が必要です] を選択し、LDAP ディレクトリサーバのルート CA SSL 証明書をコピーして貼り付けます。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

バインドユーザーの詳細 [ベース DN]：検索を開始する DN を入力します。たとえば、cn=users,dc=example,dc=com のように入力します。[バインド DN]：LDAP ディレクトリにバインドするために使用するユーザー名を入力します。


[バインド DN パスワード]：バインド DN ユーザーのパスワードを入力します。

4 LDAP ディレクトリサーバへの接続をテストするには、[接続をテスト] をクリックします。

接続に成功しない場合は、入力した情報を確認して、適切な変更を行います。

5 [保存して次へ] をクリックします。

6 [ドメイン] ページで、正しいドメインがリストされることを確認し、[次へ] をクリックします。

7 [属性をマップ] ページで、VMware Identity Manager 属性が正しい LDAP 属性にマップされていることを確認します。

重要 [domain] 属性のマッピングを指定する必要があります

属性は [ユーザー属性] ページからリストに追加することができます。


9 グループのページで、[+] をクリックして、LDAP ディレクトリから VMware Identity Manager ディレクトリに同期するグループを選択します。

LDAP ディレクトリに同じ名前のグループが複数ある場合は、グループページ内でグループに一意の名前を指定する必要があります。

[ネストされたグループユーザーの同期] オプションは、デフォルトで有効になっています。このオプションが有効になっているときは、選択したグループに直接属するすべてのユーザーと、その下にネストされたグループに属するす

べてのユーザーが同期されます。ネストされたグループ自体は同期されないことに注意してください。同期されるの

は、ネストされたグループに属するユーザーのみです。VMware Identity Manager ディレクトリでは、これらのユーザーは同期対象として選択したトップレベルのグループのメンバーとして表示されます。実際には、選択された

グループの階層がフラット化され、すべてのレベルのユーザーが選択されたグループのメンバーとして VMwareIdentity Manager に表示されます。

このオプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユー

ザーが同期されます。その下のネストされたグループに属するユーザーは同期されません。グループツリーのスキャンに多くのリソースが消費され時間がかかる大規模なディレクトリ構成では、このオプションを無効にすると、時間

を短縮できます。このオプションを無効にする場合は、同期するユーザーが属するグループをすべて選択するように

してください。


11 [+] をクリックして、別のユーザーを追加します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com と入力します。

ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。フィルタリングの基準となる

ユーザー属性、クエリルールおよび値を選択します。



VMware, Inc. 59

12 ディレクトリに同期するユーザーとグループの数や、デフォルトの同期スケジュールをページで確認します。


13 [ディレクトリを同期] をクリックして、ディレクトリ同期を開始します。

LDAP ディレクトリへの接続が確立され、ユーザーとグループは LDAP ディレクトリから VMware Identity Managerディレクトリに同期されます。バインド DN ユーザーは、デフォルトで VMware Identity Manager の管理者ロールを持っています。

フェイルオーバーと冗長性を構成してからディレクトリを追加

クラスタを展開して高可用性構成を実現した後に、新規ディレクトリを VMware Identity Manager サービスに追加し、さらに高可用性構成の新規ディレクトリ部分を構築する場合は、クラスタ内のすべてのアプライアンスにディレクトリを

追加する必要があります。

これを実行するには、各サービスインスタンスのコネクタコンポーネントを新規ディレクトリに追加します。

手順


2 [ID とアクセス管理] タブを選択してから、[ID プロバイダ] タブを選択します。

3 [ID プロバイダ] ページで、新規ディレクトリの ID プロバイダを見つけ、その ID プロバイダ名をクリックします。

4 [IdP ホスト名] フィールドで、正しいロードバランサの FQDN が設定されていない場合は、ロードバランサの FQDNを入力します。

5 [コネクタ] フィールドで、追加するコネクタを選択します。

6 パスワードを入力し、[保存] をクリックします。

7 [ID プロバイダ] ページで、ID プロバイダ名をもう一度クリックし、[IdP ホスト名] フィールドに正しいホスト名が表示されていることを確認します。[IdP ホスト名] フィールドには、ロードバランサの FQDN が表示されます。名前が正しくない場合は、ロードバランサの FQDN を入力して [保存] をクリックします。

8 これまでの手順を繰り返して、[コネクタ] フィールドに表示されているすべてのコネクタを追加します。

注意コネクタを追加するたびに、手順 7 で説明しているように IdP ホスト名を確認し、必要な場合は修正します。

これで、環境内のすべてのコネクタにディレクトリが関連付けられました。


60 VMware, Inc.

ローカルディレクトリの使用 5ローカルディレクトリは、VMware Identity Manager サービスで作成できるディレクトリタイプの 1 つです。ローカルディレクトリでは、サービスでローカルユーザーをプロビジョニングしたり、エンタープライズディレクトリにユーザーを追加することなく、特定のアプリケーションに対するアクセス権限をローカルユーザーに付与したりできます。ローカルディレクトリは、エンタープライズディレクトリには接続していないため、ユーザーおよびグループはエンタープライズディレクトリと同期されません。その代わりに、ローカルディレクトリにローカルユーザーを直接作成します。

サービスでは、システムディレクトリというデフォルトのローカルディレクトリを利用できます。また、複数の新しいローカルディレクトリを作成できます。

システムディレクトリシステムディレクトリは、サービスを最初にセットアップするときにサービスで自動的に作成されるローカルディレクトリです。このディレクトリには、システムドメインというドメインが関連付けられます。システムディレクトリの名前やドメインを変更したり、新しいドメインをシステムディレクトリに追加することはできません。また、システムディレクトリやシステムドメインを削除することもできません。

VMware Identity Manager アプライアンスを最初にセットアップするときに作成されたローカル管理者ユーザーは、システムディレクトリのシステムドメインで作成されます。

システムディレクトリに別のユーザーを追加できます。通常、システムディレクトリは、サービスを管理する数名のローカル管理者ユーザーを設定するために使用されます。エンドユーザーと追加の管理者をプロビジョニングし、アプリケーションに対する資格を付与するには、新しいローカルディレクトリを作成することをお勧めします。

ローカルディレクトリ複数のローカルディレクトリを作成できます。各ローカルディレクトリには、1 つ以上のドメインを関連付けることができます。ローカルユーザーを作成するときに、そのユーザーのディレクトリとドメインを指定します。

また、ローカルディレクトリ内のすべてのユーザーの属性を選択できます。userName、lastName、および firstNameなどのユーザー属性は、VMware Identity Manager サービスにおいてグローバルレベルで指定されます。属性のデフォルトのリストが利用可能であり、独自の属性を追加できます。グローバルユーザー属性は、ローカルディレクトリを含むサービスにあるすべてのディレクトリに適用されます。ローカルディレクトリレベルでは、ディレクトリで必須にする属性を選択できます。これにより、異なるローカルディレクトリに独自の属性セットを関連付けることができます。userName、lastName、firstName、および email は、ローカルディレクトリでは常に必須です。

注意ディレクトリレベルでユーザー属性をカスタマイズする機能は、Active Directory または LDAP ディレクトリでは使用できず、ローカルディレクトリでのみ使用できます。

ローカルディレクトリを作成すると、次のようなシナリオで役立ちます。

n エンタープライズディレクトリに含まれない特定の種類のユーザーに対してローカルディレクトリを作成できます。たとえば、通常、パートナーはエンタープライズディレクトリに含まれませんが、パートナー向けにローカルディレクトリを作成し、必要な特定のアプリケーションだけに対してアクセス権を付与できます。

VMware, Inc. 61

n 異なるユーザーセットに対して、異なるユーザー属性または認証方法を使用する場合は、複数のローカルディレクトリを作成できます。たとえば、あるローカルディレクトリを地域や市場規模などのユーザー属性を持つディストリビュータ向けに作成し、別のローカルディレクトリを製品カテゴリやサプライヤの種類などのユーザー属性を持つサプライヤ向けに作成することができます。

システムディレクトリとローカルディレクトリの ID プロバイダデフォルトでは、システムディレクトリは、システム ID プロバイダという名前の ID プロバイダに関連付けられています。パスワード（クラウドディレクトリ）による認証方法は、この ID プロバイダでデフォルトで有効にされ、すべての範囲の (ALL RANGES) のネットワークと Web ブラウザデバイスタイプの default_access_policy_set ポリシーに適用されます。別の認証方法を構成して、認証ポリシーを設定できます。

新しいローカルディレクトリを作成するときに、ID プロバイダはそのディレクトリに関連付けられません。ディレクトリを作成した後、タイプが組み込みの新しい ID プロバイダを作成し、ディレクトリと関連付けます。ID プロバイダでパスワード（クラウドディレクトリ）による認証方法を有効にします。複数のローカルディレクトリを同一の ID プロバイダと関連付けることができます。

システムディレクトリまたは作成したローカルディレクトリのいずれにも VMware Identity Manager コネクタは必要ありません。

詳細については、『VMware Identity Manager 管理ガイド』の「VMware Identity Manager でのユーザー認証の構成」を参照してください。

ローカルディレクトリユーザーのパスワード管理デフォルトでは、ローカルディレクトリのすべてのユーザーが、Workspace ONE ポータルまたはアプリケーションでパスワードを変更できます。ローカルユーザーのパスワードポリシーを設定できます。また、必要に応じてローカルユーザーのパスワードをリセットできます。

ユーザーは、右上隅にある名前をクリックし、ドロップダウンメニューから [アカウント] を選択し、[パスワードの変更]リンクをクリックして、Workspace ONE ポータルにログインするときのパスワードを変更できます。Workspace ONEアプリケーションでは、3 つの棒のメニューアイコンをクリックし、[パスワード] を選択して、パスワードを変更できます。

パスワードポリシーの設定およびローカルユーザーパスワードのリセットについては、『VMware Identity Manager 管理ガイド』の「ユーザーおよびグループの管理」を参照してください。


n ローカルディレクトリの作成 (P. 62)

n ローカルディレクトリ設定の変更 (P. 67)

n ローカルディレクトリの削除 (P. 68)

ローカルディレクトリの作成ローカルディレクトリを作成するには、ディレクトリ用のユーザー属性を指定し、ディレクトリを作成して、ID プロバイダで特定します。

1 グローバルレベルでのユーザー属性の設定 (P. 63)

ローカルディレクトリを作成する前に、[ユーザー属性] ページでグローバルユーザー属性を確認し、必要に応じてカスタム属性を追加します。

2 ローカルディレクトリの作成 (P. 64)

グローバルユーザー属性を確認および設定したら、ローカルディレクトリを作成します。


62 VMware, Inc.

3 ローカルディレクトリと ID プロバイダの関連付け (P. 66)

ローカルディレクトリを ID プロバイダと関連付け、そのディレクトリのユーザーを認証できるようにします。タイプが組み込みの新しい ID プロバイダを作成し、そこでパスワード（ローカルディレクトリ）による認証方法を有効にします。

グローバルレベルでのユーザー属性の設定ローカルディレクトリを作成する前に、[ユーザー属性] ページでグローバルユーザー属性を確認し、必要に応じてカスタム属性を追加します。

firstName、lastName、email、domain などのユーザー属性はユーザープロファイルに含まれます。VMware Identity Manager サービスでは、ユーザー属性はグローバルレベルで定義され、ローカルディレクトリを含む、サービスのすべてのディレクトリに適用されます。ローカルディレクトリレベルでは、そのローカルディレクトリのユーザーに対して属性が必須か任意かの指定を上書きできますが、カスタム属性を追加することはできません。属性が

必須である場合、ユーザーを作成する際にその属性に値を設定する必要があります。

カスタム属性を作成するときは、次の語句は使用できません。

表 5‑1. カスタム属性の名前に使用できない語句

active addresses costCenter

department displayName division

emails employeeNumber entitlements

externalId groups id

ims locale manager

meta name nickName

organization password phoneNumber

photos preferredLanguage profileUrl

roles timezone title

userName userType x509Certificate

注意ディレクトリレベルでユーザー属性をオーバーライドする機能は、Active Directory または LDAP ディレクトリには適用されず、ローカルディレクトリにのみ適用できます。

手順


2 [セットアップ] をクリックし、[ユーザー属性] タブをクリックします。

3 ユーザー属性のリストを確認し、必要に応じて属性を追加します。

注意このページでは必須にする属性を選択できますが、ローカルディレクトリに対する設定はローカルディレクトリレベルで行うことをお勧めします。このページで属性を必須に指定すると、Active Directory や LDAP ディレクトリを含む、サービスのすべてのディレクトリに適用されます。


次に進む前に

ローカルディレクトリを作成します。

第 5 章ローカルディレクトリの使用

VMware, Inc. 63

ローカルディレクトリの作成グローバルユーザー属性を確認および設定したら、ローカルディレクトリを作成します。

手順

1 管理コンソールで、[ID とアクセス管理] タブをクリックしてから、[ディレクトリ] タブをクリックします。

2 [ディレクトリを追加] をクリックし、ドロップダウンメニューから [ローカルユーザーディレクトリを追加] を選択します。

3 [ディレクトリを追加] ページでディレクトリ名を入力し、少なくとも 1 つのドメイン名を指定します。

ドメイン名は、サービスのすべてのディレクトリにおいて一意である必要があります。

例：


64 VMware, Inc.


5 [ディレクトリ] ページで、新しいディレクトリをクリックします。

6 [ユーザー属性] タブをクリックします。

[ID とアクセス管理] > [セットアップ] > [ユーザー属性] ページのすべての属性が、ローカルディレクトリに表示されます。そのページで必須とマークされている属性は、ローカルディレクトリページでも必須として表示されます。

7 ローカルディレクトリの属性をカスタマイズします。

必須およびオプションの属性を指定できます。また、属性の表示順序を変更できます。

重要 userName、firstName、lastName、および email の各属性は、ローカルディレクトリでは常に必須です。

n 属性を必須にするには、属性名の横にあるチェックボックスを選択します。

n 属性をオプションにするには、属性名の横にあるチェックボックスを選択解除します。

n 属性の順序を変更するには、属性をクリックして新しい位置にドラッグします。

属性が必須である場合、ユーザーを作成するときに、その属性の値を指定する必要があります。

例：


VMware, Inc. 65


次に進む前に

ローカルディレクトリを任意の ID プロバイダに関連付けて、ディレクトリ内のユーザーの認証に使用できます。

ローカルディレクトリと ID プロバイダの関連付けローカルディレクトリを ID プロバイダと関連付け、そのディレクトリのユーザーを認証できるようにします。タイプが組み込みの新しい ID プロバイダを作成し、そこでパスワード（ローカルディレクトリ）による認証方法を有効にします。

注意組み込みの ID プロバイダを使用しないでください。組み込みの ID プロバイダでパスワード（ローカルディレクトリ）による認証方法を有効にすることはお勧めしません。

手順

1 [ID とアクセス管理] タブで、[ID プロバイダ] タブをクリックします。

2 [ID プロバイダを追加] をクリックして、[組み込み IDP を作成] を選択します。

3 以下の情報を入力します。


ID プロバイダ名 ID プロバイダの名前を入力します。

ユーザー作成したローカルディレクトリを選択します。

ネットワークこの ID プロバイダにアクセス可能なネットワークを選択します。

認証方法パスワード（ローカルディレクトリ）を選択します。

KDC 証明書のエクスポート AirWatch により管理される iOS デバイスに対しモバイル SSO を構成していない限り、証明書をダウンロードする必要はありません。


66 VMware, Inc.

4 [追加] をクリックします。

ID プロバイダが作成され、ローカルディレクトリと関連付けられます。後で ID プロバイダでその他の認証方法を構成できます。認証の詳細については、『VMware Identity Manager の管理』の「VMware Identity Manager でのユーザー認証の構成」を参照してください。

同一の ID プロバイダを複数のローカルディレクトリに使用できます。

次に進む前に

ローカルユーザーとローカルグループを作成します。管理コンソールの [ユーザーとグループ] タブで、ローカルユーザーとローカルグループを作成します。詳細については、『VMware Identity Manager 管理ガイド』の「ユーザーおよびグループの管理」を参照してください。

ローカルディレクトリ設定の変更ローカルディレクトリの作成後は、いつでも設定を変更できます。

次の設定を変更できます。

n ディレクトリ名を変更します。

n ドメインの追加、削除、または名前の変更を行います。

n ドメイン名は、サービスのすべてのディレクトリにおいて一意である必要があります。

n ドメイン名を変更すると、古いドメインに関連付けられていたユーザーは新しいドメインに関連付けられます。

n ディレクトリには少なくとも 1 つのドメインを含める必要があります。

n システムディレクトリにドメインを追加したり、システムドメインを削除したりすることはできません。

n 新しいユーザー属性を追加したり、既存の属性に必須や任意の指定を行ったりします。

n ローカルディレクトリにまだユーザーが作成されていない場合は、新しい属性を任意または必須として設定したり、既存の属性の設定を任意または必須に変更したりできます。

n ローカルディレクトリにすでにユーザーが作成されている場合は、新しい属性は任意指定の属性としてのみ追加できます。また、既存の属性は必須から任意に変更できます。ユーザーの作成後に、任意指定の属性を必須に

変更することはできません。

n userName、firstName、lastName、および email の各属性は、ローカルディレクトリでは常に必須です。


VMware, Inc. 67

n VMware Identity Manager サービスではユーザー属性がグローバルレベルで定義されているため、新しい属性を追加すると、サービスのすべてのディレクトリに表示されます。

n 属性の表示順序を変更します。

手順


2 [ディレクトリ] ページで、編集するディレクトリをクリックします。

3 ローカルディレクトリの設定を編集します。

オプション操作

ディレクトリ名を変更する a [設定] タブで、ディレクトリ名を変更します。b [保存] をクリックします。

ドメインの追加、削除、または名前の変更を

行う

a [設定] タブで、[ドメイン] リストを編集します。b ドメインを追加するには、緑色のプラスアイコンをクリックします。c ドメインを削除するには、赤色の削除アイコンをクリックします。

d ドメインの名前を変更するには、テキストボックスでドメイン名を編集します。

ディレクトリにユーザー属性を追加する a [ID とアクセス管理] タブをクリックし、続いて [セットアップ] をクリックします。b [ユーザー属性] タブをクリックします。c [使用するその他の属性を追加] リストに属性を追加し、[保存] をクリックします。

ディレクトリで属性を必須または任意に設定

する

a [ID とアクセス管理] タブで、[ディレクトリ] タブをクリックします。b ローカルディレクトリ名をクリックし、[ユーザー属性] タブをクリックします。c 属性の隣のチェックボックスを選択すると属性が必須になり、チェックボック

スを選択解除すると属性が任意になります。

d [保存] をクリックします。

属性の順序を変更する a [ID とアクセス管理] タブで、[ディレクトリ] タブをクリックします。b ローカルディレクトリ名をクリックし、[ユーザー属性] タブをクリックします。c 属性をクリックして新しい位置にドラッグします。

d [保存] をクリックします。

ローカルディレクトリの削除VMware Identity Manager サービスで作成したローカルディレクトリを、削除できます。サービスの初回セットアップ時にデフォルトで作成された、システムディレクトリを削除することはできません。

注意ディレクトリを削除すると、ディレクトリ内のすべてのユーザーもシステムから削除されます。

手順

1 [ID とアクセス管理] タブをクリックしてから、[ディレクトリ] タブをクリックします。

2 削除するディレクトリをクリックします。

3 [ディレクトリ] ページで、[ディレクトリの削除] をクリックします。


68 VMware, Inc.

VMware Identity Manager アプライアンスの詳細構成 6

VMware Identity Manager 仮想アプライアンスの基本インストールを完了したら、VMware Identity Manager への外部アクセスの有効化や冗長性の構成など、その他の構成タスクの完了が必要になる場合があります。

VMware Identity Manager アーキテクチャ図は、VMware Identity Manager 環境を展開する方法を示しています。標準的な展開については、第 1 章「VMware Identity Manager のインストールの準備 (P. 9)」を参照してください。


n ロードバランサまたはリバースプロキシを使用して、VMware Identity Manager への外部アクセスを有効にする (P. 69)

n 単一のデータセンターにおけるフェイルオーバーと冗長性の構成 (P. 73)

n フェイルオーバーと冗長化のためのセカンダリデータセンターへの VMware Identity Manager の展開 (P. 78)

ロードバランサまたはリバースプロキシを使用して、 VMware Identity Managerへの外部アクセスを有効にする

展開時に、内部ネットワーク内に VMware Identity Manager 仮想アプライアンスがセットアップされます。ネットワークの外側から接続するユーザーがサービスにアクセスできるようにする場合は、Apache、nginx、F5 などのロードバランサまたはリバースプロキシを DMZ にインストールする必要があります。

ロードバランサまたはリバースプロキシを使用しない場合、VMware Identity Manager アプライアンスの数を後で増やすことはできません。冗長性やロードバランスを実現するために、アプライアンスの追加が必要になる可能性があります。下記の図に、外部アクセスを有効するために使用できる、基本展開アーキテクチャを示します。

VMware, Inc. 69

図 6‑1. 外部ロードバランサプロキシと仮想マシン

仮想アプライアンス

内部ユーザー

外部ユーザー

DMZ ファイアウォール

ポート 443 ポート 443

VMware Identity Manager

内部ロードバランサホスト名：VMware Identity Manager FQDNIP アドレスの例: 10..x.y.zポート：VMware Identity Manager ポートX-Forwarded-For ヘッダを有効にする必要があります。

外部ロードバランサホスト名： VMware Identity Manager FQDNIP アドレスの例: 64.x.y.zポート：VMware Identity Manager ポートX-Forwarded-For ヘッダを有効にする必要があります。




展開時に VMware Identity Manager FQDN を指定するVMware Identity Manager 仮想マシンの展開時に、VMware Identity Manager FQDN とポート番号を入力します。これらの値は、エンドユーザーがアクセスするホスト名を示している必要があります。

VMware Identity Manager 仮想マシンは、常にポート 443 で実行されます。ロードバランサには、異なるポート番号を使用できます。異なるポート番号を使用する場合は、展開時に指定する必要があります。

構成するロードバランサ設定X-Forwarded-For ヘッダの有効化、ロードバランサのタイムアウトの正確な設定、およびスティッキーセッションの有効化など、ロードバランサの設定を構成します。さらに、VMware Identity Manager 仮想アプライアンスとロードバランサ間に SSL トラストを構成する必要があります。

n X-Forwarded-For ヘッダー

ロードバランサで X-Forwarded-For ヘッダーを有効にする必要があります。これによって、認証方法が決定します。詳細については、ロードバランサのベンダーから提供されるドキュメントを参照してください。

n ロードバランサのタイムアウト

VMware Identity Manager が正しく機能するように、ロードバランサの要求のタイムアウトをデフォルトの値から増やす必要がある場合があります。この値は、分単位で設定します。タイムアウト設定が短すぎると、“502 error:The service is currently unavailable.” というエラーが発生することがあります。


70 VMware, Inc.

n スティッキーセッションの有効化

環境に複数の VMware Identity Manager アプライアンスがある場合は、ロードバランサ上でスティッキーセッションの設定を有効にする必要があります。これで、ロードバランサはユーザーのセッションを特定のインスタンスにバインドします。

ロードバランサへの VMware Identity Manager ルート証明書の適用ロードバランサとともに VMware Identity Manager 仮想アプライアンスが構成されている場合は、ロードバランサとVMware Identity Manager 間の SSL トラストを確立する必要があります。VMware Identity Manager ルート証明書をロードバランサにコピーする必要があります。

VMware Identity Manager 証明書は、管理コンソールの [アプライアンス設定] - [VA 構成] - [構成の管理] ページでダウンロードできます。

VMware Identity Manager FQDN がロードバランサを参照している場合は、SSL 証明書をロードバランサのみに適用できます。

ロードバランサは VMware Identity Manager仮想マシンと通信するため、VMware Identity Manager ルート CA 証明書を信頼できる証明書としてロードバランサにコピーする必要があります。

手順

1 管理コンソールで [アプライアンス設定] タブを選択し、[VA 構成] を選択します。


3 [証明書のインストール] を選択します。

4 [ロードバランサ上の SSL の終了] タブを選択し、[アプライアンスのルート CA 証明書] フィールドでリンク https://<ホスト名>/horizon_workspace_rootca.pem をクリックします。

5 -----BEGIN CERTIFICATE----- と -----END CERTIFICATE---- の行を含み、これらの行の間にあるすべての行をコピーして、各ロードバランサの正しい場所にルート証明書を貼り付けます。ロードバランサのベンダーが提供するドキュメントを参照してください。

次に進む前に

ロードバランサのルート証明書をコピーして、VMware Identity Managerコネクタアプライアンスに貼り付けます。

VMware Identity Manager にロードバランサルート証明書を適用するロードバランサとともに VMware Identity Manager 仮想アプライアンスが構成されている場合は、ロードバランサとVMware Identity Manager 間の信頼を確立する必要があります。VMware Identity Manager ルート証明書をロードバランサにコピーし、さらにロードバランサのルート証明書を VMware Identity Manager にコピーする必要があります。

手順

1 ロードバランサのルート証明書を取得します。

第 6 章 VMware Identity Manager アプライアンスの詳細構成

VMware, Inc. 71

2 VMware Identity Manager 管理コンソールで [アプライアンス設定] タブを選択し、[VA 構成] を選択します。


4 管理者ユーザーパスワードでログインします。

5 [証明書のインストール] ページで、[ロードバランサ上の SSL の終了] タブを選択します。

6 ロードバランサの証明書のテキストを [ルート CA 証明書] フィールドに貼り付けます。


VMware Identity Manager のためのプロキシサーバの設定VMware Identity Manager 仮想アプライアンスは、インターネット上のクラウドアプリケーションカタログおよびその他の Web サービスにアクセスします。HTTP プロキシを使用するインターネットアクセスをネットワーク構成で指定している場合は、VMware Identity Manager アプライアンスでプロキシ設定を調整する必要があります。

インターネットトラフィックのみを処理するプロキシを有効にします。プロキシが正しく設定されていることを確認するために、ドメイン内の内部トラフィック用のパラメータを no-proxy に設定します。

注意認証が必要なプロキシサーバはサポートされません。

手順

1 vSphere Client で、root ユーザーとして VMware Identity Manager 仮想アプライアンスにログインします。

2 コマンドラインに YaST と入力して YaST ユーティリティを実行します。

3 左ペインで [ネットワークサービス] を選択してから、[プロキシ] を選択します。

4 [HTTP プロキシ URL] フィールドと [HTTPS プロキシ URL] フィールドにプロキシサーバの URL を入力します。

5 [終了] を選択して YaST ユーティリティを終了します。

6 VMware Identity Manager 仮想アプライアンスで Tomcat サーバを再起動して新しいプロキシ設定を使用します。


クラウドアプリケーションカタログおよびその他の Web サービスを VMware Identity Manager で使用できるようになりました。


72 VMware, Inc.

単一のデータセンターにおけるフェイルオーバーと冗長性の構成フェイルオーバーと冗長性を実現するために、複数の VMware Identity Manager 仮想アプライアンスをクラスタに追加できます。何らかの理由で仮想アプライアンスのいずれかがシャットダウンした場合、VMware Identity Manager を引き続き使用できます。

最初に VMware Identity Manager 仮想アプライアンスを展開および構成してから、そのクローンを作成します。仮想アプライアンスのクローン作成では、クローン元と同じ構成でアプライアンスの複製を作成します。クローン作成された仮

想アプライアンスの名前、ネットワーク設定、およびその他のプロパティを必要に応じて変更し、カスタマイズできます。

VMware Identity Manager 仮想アプライアンスのクローンを作成する前に、ロードバランサの背後でそれを構成し、ロードバランサ FQDN に一致するように、その完全修飾ドメイン名 (FQDN) を変更する必要があります。また、アプライアンのクローンを作成する前には、VMware Identity Manager サービスでディレクトリ構成を完了させておきます。

クローンを作成した後、クローン作成された仮想アプライアンスに新しい IP アドレスを割り当ててから、アプライアンスをパワーオンします。クローン作成された仮想アプライアンスの IP アドレスは、元の仮想アプライアンスの IP アドレスと同じガイドラインに従う必要があります。IP アドレスは、正引きと逆引きの DNS を使用して有効なホスト名に解決する必要があります。

VMware Identity Manager クラスタのすべてのノードは同一で、互いにほぼステートレスなコピーです。ActiveDirectory、および View や ThinApp などの構成されているリソースとの同期は、クローン作成された仮想アプライアンスでは無効です。

1 VMware Identity Manager クラスタで推奨されるノードの数 (P. 73)

VMware Identity Manager クラスタを 3 つのノードで設定することを推奨します。

2 VMware Identity Manager の FQDN をロードバランサの FQDN に変更する (P. 74)

VMware Identity Manager 仮想アプライアンスのクローンを作成する前に、ロードバランサの FQDN に一致するように、その完全修飾ドメイン名 (FQDN) を変更する必要があります。

3 仮想アプライアンスのクローンを作成する (P. 75)

4 クローン作成された仮想アプライアンスへの新しい IP アドレスの割り当て (P. 75)

クローン作成された各仮想アプライアンスは、新しい IP アドレスを割り当ててからパワーオンしてください。IP アドレスは、DNS で解決できる必要があります。逆引き DNS でアドレスを参照できない場合は、ホスト名も割り当ててください。

5 障害発生時に別のインスタンスでディレクトリ同期を有効にする (P. 77)

VMware Identity Manager クラスタで推奨されるノードの数VMware Identity Manager クラスタを 3 つのノードで設定することを推奨します。

VMware Identity Manager アプライアンスには検索および解析エンジンである Elasticsearch が含まれています。2 ノード構成のクラスタでは、Elasticsearch に既知の制限があります。Elasticsearch の「スプリットブレイン」の制限については、Elasticsearch のドキュメントを参照してください。Elasticsearch の設定を構成する必要はないことに注意してください。

2 つのノードを備えた VMware Identity Manager クラスタはフェイルオーバー機能を提供しますが、Elasticsearch に関連するいくつかの制限があります。ノードの 1 つがシャットダウンした場合、ノードが再起動するまで次の制限が適用されます。

n ダッシュボードにはデータが表示されません。

n ほとんどのレポートは利用できません。

n ディレクトリの同期ログ情報は表示されません。

n 管理コンソールの右上隅の検索フィールドに結果が返されません。


VMware, Inc. 73

https://www.elastic.co/guide/en/elasticsearch/guide/1.x/_important_configuration_changes.html#_minimum_master_nodes

n テキストフィールドでオートコンプリート機能を使用できません。

ノードが停止している間にデータは失われません。監査イベントと同期ログデータが保存されており、ノードが復元されると表示されます。

VMware Identity Manager の FQDN をロードバランサの FQDN に変更するVMware Identity Manager 仮想アプライアンスのクローンを作成する前に、ロードバランサの FQDN に一致するように、その完全修飾ドメイン名 (FQDN) を変更する必要があります。

開始する前に

n VMware Identity Manager アプライアンスがロードバランサに追加されます。

n ロードバランサのルート CA 証明書を VMware Identity Manager に適用しました。

手順


2 [アプライアンス設定] タブを選択します。

3 [仮想アプライアンスの構成] ページで [構成の管理] をクリックします。

4 管理者パスワードを入力してログインします。

5 [Identity Manager の構成] をクリックします。

6 [Identity Manager FQDN] フィールドで、URL のホスト名部分を VMware Identity Manager のホスト名からロードバランサのホスト名に変更します。

たとえば、VMware Identity Manager のホスト名が myservice であり、ロードバランサのホスト名が mylb の場合、URL の

https://myservice.mycompany.com

を次のように変更します。

https://mylb.mycompany.com


n サービスの FQDN がロードバランサの FQDN に変更されます。

n ID プロバイダの URL がロードバランサの URL に変更されます。

次に進む前に

仮想アプライアンスのクローンを作成します。


74 VMware, Inc.

仮想アプライアンスのクローンを作成するVMware Identity Manager 仮想アプライアンスのクローン作成により同タイプの仮想アプライアンスを複数作成し、トラフィックを分散して潜在的なダウンタイムを解消できます。

複数の VMware Identity Manager 仮想アプライアンスを使用することによって、可用性を高め、サービスへの要求を負荷分散して、エンドユーザーへの応答時間を短縮できます。

開始する前に

n VMware Identity Manager 仮想アプライアンスは、ロードバランサの背後に構成する必要があります。ロードバランサポートが 443 番であることを確認します。ポート番号 8443 は管理ポートで、各仮想アプライアンスに一意であるため、これはポート番号として使用しないでください。

n 「データベースへの接続 (P. 32)」の説明されているように、外部データベースは構成されます。

n VMware Identity Manager でのディレクトリ構成を完了していることを確認します。

n root ユーザーとして仮想アプライアンスのコンソールにログインし、/etc/udev/rules.d/70-persistent-net.rules ファイルが存在する場合は削除します。このファイルを削除しないでクローンを作成すると、クローン作成された仮想アプライアンスでネットワークが正しく構成されません。

手順

1 vSphere Client または vSphere Web Client にログインし、VMware Identity Manager 仮想アプライアンスに移動します。

2 仮想アプライアンスを右クリックして、[クローンの作成] を選択します。

3 クローン作成された仮想アプライアンスの名前を入力して [次へ] をクリックします。

この名前は、VM フォルダ内で一意である必要があります。

4 クローン作成された仮想アプライアンスを実行するホストまたはクラスタを選択して [次へ] をクリックします。

5 仮想アプライアンスを実行するリソースプールを選択して [次へ] をクリックします。

6 仮想ディスク形式については、[ソースと同じ形式] を選択します。

7 仮想アプライアンスのファイルを格納するデータストアの場所を選択して、[次へ] をクリックします。

8 ゲスト OS のオプションとして [カスタマイズしない] を選択します。

9 オプションを確認して、[終了] をクリックします。

クローン作成された仮想アプライアンスが展開されます。クローン作成が完了するまで、仮想アプライアンスは使用する

ことも編集することもできません。

次に進む前に

クローン作成された仮想アプライアンスをパワーオンしてロードバランサに追加する前に、このアプライアンスに IP アドレスを割り当てます。

クローン作成された仮想アプライアンスへの新しい IP アドレスの割り当てクローン作成された各仮想アプライアンスは、新しい IP アドレスを割り当ててからパワーオンしてください。IP アドレスは、DNS で解決できる必要があります。逆引き DNS でアドレスを参照できない場合は、ホスト名も割り当ててください。

手順

1 vSphere Client または vSphere Web Client で、クローン作成された仮想アプライアンスを選択します。

2 [サマリ] タブの [コマンド] の下で [設定の編集] をクリックします。

3 [オプション] を選択し、[vApp オプション] リストで [プロパティ] を選択します。


VMware, Inc. 75

4 [IP アドレス] フィールドの IP アドレスを変更します。

5 逆引き DNS で IP アドレスを参照できない場合は、[ホスト名] テキストボックスにホスト名を追加します。

6 [OK] をクリックします。

7 クローン作成されたアプライアンスをパワーオンし、[コンソール] タブに青のログイン画面が表示されるまで待ちます。

重要クローンのアプライアンスをパワーオンする前に、元のアプライアンスが完全にパワーオンされていることを確認します。

次に進む前に

n Elasticsearch クラスタおよび RabbitMQ クラスタが作成されるまで数分間待ってから、クローンの仮想アプライアンスをロードバランサに追加します。

検索および分析のエンジンである Elasticsearch と、メッセージングブローカーである RabbitMQ は、仮想アプライアンスに組み込まれています。

a クローンの仮想アプライアンスにログインします。

b Elasticsearch クラスタをチェックします。

curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'

結果がノード数と一致することを確認します。

c RabbitMQ クラスタをチェックします。

rabbitmqctl cluster_status

結果がノード数と一致することを確認します。

n クローンの仮想アプライアンスをロードバランサに追加し、トラフィックを分散するようロードバランサを構成します。詳細については、ロードバランサのベンダーが提供するドキュメントを参照してください。

n 元のサービスインスタンスでドメインに参加していた場合は、クローン作成されたサービスインスタンスでドメインに参加する必要があります。

a VMware Identity Manager の管理コンソールにログインします。

b [ID とアクセス管理] タブを選択し、続いて [セットアップ] をクリックします。

クローンの各サービスインスタンスのコネクタコンポーネントは、[コネクタ] ページに表示されます。

c 表示されたコネクタごとに、[ドメインに参加] をクリックしてドメイン情報を指定します。

Active Directory の詳細については、「Active Directory との連携 (P. 42)」を参照してください。

n ディレクトリのタイプが統合 Windows 認証 (IWA) の場合は、次の操作を実行する必要があります。

a 元のサービスインスタンスの IWA ディレクトリが参加しているドメインに、クローンのサービスインスタンスを参加させます。


2 [ID とアクセス管理] タブを選択し、続いて [セットアップ] をクリックします。

クローンの各サービスインスタンスのコネクタコンポーネントは、[コネクタ] ページに表示されます。

3 表示されたコネクタごとに、[ドメインに参加] をクリックしてドメイン情報を指定します。

b IWA ディレクトリの構成を保存します。

1 [ID とアクセス管理] タブを選択します。

2 [ディレクトリ] ページで、IWA ディレクトリのリンクをクリックします。


76 VMware, Inc.

3 [保存] をクリックして、ディレクトリの構成を保存します。

n 元のサービスインスタンスの /etc/krb5.conf ファイルを手動で更新した場合（View 同期のエラーや遅延を解決する場合など）、クローンのインスタンスをドメインに参加させた後に、クローンのインスタンスのファイルを更新

する必要があります。クローン作成されたすべてのサービスインスタンスで、次のタスクを実行します。

a /etc/krb5.conf ファイルを編集し、realms セクションのドメインとホストの情報を指定する値に、/usr/local/horizon/conf/domain_krb.properties ファイルで使用されているものと同じ値を指定します。ポート番号を指定する必要はありません。たとえば、domain_krb.properties ファイルにexample.com=examplehost.example.com:389 のドメインエントリがある場合、krb5.conf ファイルを次のように更新します。

[realms]GAUTO-QA.COM = {auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-QA\.COM/GAUTO2QA/auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/auth_to_local = DEFAULT kdc = examplehost.example.com}

注意 kdc エントリは、複数入力することができます。ただし、ほとんどの場合、kdc の値は 1 つだけであるため、これは必須ではありません。追加の kdc の値を定義する場合は、ドメインコントローラを定義する kdcのエントリを 1 行につき 1 つ指定します。

b Workspace サービスを再起動します。


注意ナレッジベースの記事 KB2091744 も参照してください。

n クローンのインスタンスそれぞれでコネクタに構成した認証方法を有効にします。詳細については、VMware Identity Manager 管理ガイドを参照してください。

VMware Identity Manager サービス仮想アプライアンスは、優れた可用性を提供します。トラフィックは、ロードバランサの構成に基づいて、クラスタで仮想アプライアンスに分散されます。サービス認証は、優れた可用性を実現していま

す。ただし、サービスインスタンスで障害が発生した場合、クローンの各サービスインスタンスでディレクトリの同期を手動で有効にする必要があります。ディレクトリの同期は、サービスのコネクタコンポーネントによって処理され、一度に 1 つのコネクタでのみ有効にできます。「障害発生時に別のインスタンスでディレクトリ同期を有効にする (P. 77)」を参照してください。

障害発生時に別のインスタンスでディレクトリ同期を有効にするサービスインスタンスで障害が発生した場合、ロードバランサの構成によって、クローン作成されたインスタンスが自動的に認証を行います。一方、ディレクトリの同期の場合は、クローン作成されたインスタンスを使用するように、

VMware Identity Manager サービスのディレクトリ設定を変更する必要があります。ディレクトリ同期は、サービスのコネクタコンポーネントによって処理され、一度に 1 つのコネクタでのみ有効にできます。

手順


2 [ID とアクセス管理] タブをクリックし、続いて [ディレクトリ] をクリックします。

3 元のサービスインスタンスに関連付けられたディレクトリをクリックします。

この情報は、[セットアップ] - [コネクタ] ページで表示できます。ページには、クラスタ内の各サービス仮想アプライアンスのコネクタコンポーネントが表示されます。


VMware, Inc. 77


4 ディレクトリページの [ディレクトリの同期と認証] セクションにある [コネクタを同期] フィールドで、いずれか他のコネクタを選択します。

5 [バインド DN パスワード] フィールドに、Active Directory バインドアカウントのパスワードを入力します。


フェイルオーバーと冗長化のためのセカンダリデータセンターへのVMware Identity Manager の展開

プライマリの VMware Identity Manager データセンターが利用できなくなった場合にフェイルオーバー機能を提供するには、VMware Identity Manager をセカンダリデータセンターに展開する必要があります。

セカンダリデータセンターを使用することで、エンドユーザーは、ダウンタイムなしでログインしてアプリケーションを使用できます。セカンダリデータセンターを利用すると、管理者はダウンタイムなしで VMware Identity Manager の次のバージョンにアップグレードすることもできます。「ダウンタイムを発生させずに VMware Identity Manager をアップグレードする (P. 89)」を参照してください。

セカンダリデータセンターを使用した一般的な展開環境をここに示します。


78 VMware, Inc.

vIDM1vIDM2

（vIDM1 からクローン作成）





vIDM3

Horizon View Cloud Pod アーキテクチャ

SQL Server Always on リスナー

ThinApp リポジトリ (DFS)

XenFarmA

XenFarmB

View ポッドA

View ポッド B

View ポッドC

View ポッドD

XenFarmC

XenFarmD

グローバル LB

DC1 LB

SQL Server（マスター）

Always On

vIDM5vIDM4 vIDM6

DC2 LB

SQL Server（レプリカ）

マルチデータセンターの展開環境ではこれらのガイドラインに従います。

n クラスタの展開：3 つ以上の VMware Identity Manager 仮想アプライアンスのセットを 1 つのデータセンターに1 つのクラスタとして展開し、3 つ以上の仮想アプライアンスの別のセットを別のクラスタとしてセカンダリデータセンターに展開する必要があります。詳細については、「セカンダリデータセンターのセットアップ (P. 80)」を参照してください。

n データベース： VMware Identity Manager は、データベースを使用してデータを保存します。マルチデータセンターが展開される環境では、2 つのデータセンター間でデータベースのレプリケーションを作成することが極めて重要となります。マルチデータセンターでデータベースをセットアップする方法については、お使いのデータベースの

ドキュメントを参照してください。たとえば、SQL Server では、Always On の展開環境を使用することをお勧めします。詳細については、Microsoft の Web サイトの Always On 可用性グループ (SQL Server) の概要を参照してください。VMware Identity Manager 機能によって、データベースと VMware Identity Manager アプライアンス間の遅延が非常に短くなります。したがって、あるデータセンターのアプライアンスは、同じデータセンターにある

データベースに接続できます。

n 非アクティブ/アクティブ構成： VMware Identity Manager は、同時に両方のデータセンターからユーザーにサービスを提供できるアクティブ/アクティブ環境をサポートしません。セカンダリデータセンターはホットスタンバイであり、エンドユーザーに対するビジネス継続性を確保するために使用できます。セカンダリデータセンターのVMware Identity Manager アプライアンスは読み取り専用モードになっています。したがって、セカンダリデータセンターにフェイルオーバーした後には、ユーザーやアプリケーションの追加、ユーザーへの資格付与など、ほと

んどの管理操作は機能しません。


VMware, Inc. 79

https://msdn.microsoft.com/en-us/library/ff877884.aspx

n プライマリへのフェイルバック：ほとんどの障害発生のシナリオでは、データセンターが正常な状態に戻った後にプ

ライマリデータセンターにフェイルバックできます。詳細については、「プライマリデータセンターへのフェイルバック (P. 89)」を参照してください。

n プライマリへのセカンダリの昇格：データセンターの障害が長引く場合、セカンダリデータセンターをプライマリに昇格できます。詳細については、「セカンダリデータセンターからプライマリデータセンターへの昇格 (P. 89)」を参照してください。

n 完全修飾ドメイン名：VMware Identity Manager にアクセスするための完全修飾ドメイン名は、すべてのデータセンターで同じにする必要があります。

n 監査： VMware Identity Manager は、監査、レポート、およびディレクトリ同期ログに VMware Identity Managerアプライアンスに組み込まれている Elasticsearch を使用します。各データセンターに個別の Elasticsearch クラスタを作成する必要があります。詳細については、「セカンダリデータセンターのセットアップ (P. 80)」を参照してください。

n Active Directory：VMware Identity Manager は、LDAP API を使用するか、統合 Windows 認証を使用して、Active Directory に接続できます。どちらの方法でも、VMware Identity Manager は、Active Directory の SRVレコードを利用して、各データセンターにある適切なドメインコントローラにアクセスできます。

n Windows アプリケーション：VMware Identity Manager は、ThinApp を使用した Windows アプリケーションへのアクセス、および Horizon View または Citrix テクノロジを使用した Windows アプリケーションおよびデスクトップへのアクセスをサポートします。ユーザーの近くにあるデータセンターからこれらのリソースを配信するこ

とが通常、重要となります。これは Geo-Affinity（地理的な親和性）とも呼ばれる場合があります。Windows リソースについては次の点に注意してください。

n ThinApps - VMware Identity Manager は、Windows 分散ファイルシステムを ThinApp リポジトリとしてサポートします。ロケーション固有の適切なポリシーをセットアップするには、Windows 分散ファイルシステムのドキュメントを参照してください。

n Horizon View（Cloud Pod アーキテクチャ）- VMware Identity Manager は、Horizon Cloud Pod アーキテクチャをサポートします。Horizon Cloud Pod アーキテクチャは、グローバル資格を使用して、Geo-Affinityを提供します。詳細については、『VMware Identity Managerでのリソースのセットアップ』の「Cloud Podアーキテクチャ環境の統合」を参照してください。VMware Identity Manager のマルチデータセンターの展開環境では、他の変更は必要ありません。

n Horizon View（Cloud Pod アーキテクチャなし）- Horizon Cloud Pod アーキテクチャがお使いの環境で有効になっていない場合は、Geo-Affinity を有効にできません。フェイルオーバーが発生した後には、セカンダリデータセンターで構成されている View ポッドから Horizon View リソースを起動するようにVMware Identity Manager を手動で切り替えることができます。詳細については、「Horizon View およびCitrix ベースのリソースのフェイルオーバー順序の構成 (P. 86)」を参照してください。

n Citrix リソース - Horizon View（Cloud Pod アーキテクチャなし）と同様に、Citrix リソースでは Geo-Affinityを有効にできません。フェイルオーバーが発生した後には、セカンダリデータセンターで構成されているXenFarms から Citrix リソースを起動するように VMware Identity Manager を手動で切り替えることができます。詳細については、「Horizon View および Citrix ベースのリソースのフェイルオーバー順序の構成 (P. 86)」を参照してください。

セカンダリデータセンターのセットアップセカンダリデータセンターは、通常、異なる vCenter Server で管理されます。セカンダリデータセンターをセットアップするときは、各要件に基づいて、以下を構成および実装できます。

n プライマリデータセンターからインポートされた OVA ファイルから作成された、セカンダリデータセンターのVMware Identity Manager アプライアンス

n セカンダリデータセンターのロードバランサ

n Horizon View と Citrix ベースのリソースと資格の複製

n データベース構成


80 VMware, Inc.

n フェイルオーバーのための、プライマリおよびセカンダリデータセンター全体にわたるロードバランサまたは DNSエントリ

レプリケーションのためのプライマリデータセンターの変更

セカンダリデータセンターをセットアップする前に、クラスタ全体で Elasticsearch、RabbitMQ、および Ehcache をレプリケーションするためにプライマリデータセンターを構成します。

Elasticsearch、RabbitMQ、および Ehcache が VMware Identity Manager 仮想アプライアンスに組み込まれています。Elasticsearch は、監査、レポート、およびディレクトリ同期ログに使用される検索および分析エンジンです。RabbitMQ は、メッセージブローカです。Ehcache は、キャッシュ機能を提供します。

プライマリデータセンタークラスタのすべてのノードでこれらの変更を構成します。

開始する前に

プライマリデータセンターに VMware Identity Manager クラスタがセットアップされています。

手順

1 Elasticsearch をレプリケーション用に構成します。

プライマリデータセンタークラスタの各ノードでこれらの変更を行います。

a Elasticsearch の cron ジョブを無効にします。

1 /etc/cron.d/hznelasticsearchsync ファイルを編集します。

vi /etc/cron.d/hznelasticsearchsync

2 この行をコメントアウトします。

#*/1 * * * * root /usr/local/horizon/scripts/elasticsearchnodes.hzn

b プライマリデータセンタークラスタのすべてのノードの IP アドレスを追加します。

1 /etc/sysconfig/elasticsearch ファイルを編集します。

vi /etc/sysconfig/elasticsearch

2 クラスタのすべてのノードの IP アドレスを追加します。

ES_UNICAST_HOSTS=<IPaddress1>,<IPaddress2>,<IPaddress3>

c セカンダリデータセンタークラスタのロードバランサの FQDN を /usr/local/horizon/conf/runtime-config.properties ファイルに追加します。

1 /usr/local/horizon/conf/runtime-config.properties ファイルを編集します。

vi /usr/local/horizon/conf/runtime-config.properties

2 次の行をファイルに追加します。

analytics.replication.peers=<LB_FQDN_of_second_cluster>


VMware, Inc. 81

2 RabbitMQ をレプリケーション用に構成します。


a RabbitMQ の cron ジョブを無効にします。

1 vi /etc/cron.d/hznrabbitmqsync

2 この行をコメントアウトします。

#*/1 * * * * root /usr/local/horizon/scripts/rabbitmqnodes.hzn

b /usr/local/horizon/scripts/rabbitmqnodes.hzn ファイルで次の変更を行います。

1 vi /usr/local/horizon/scripts/rabbitmqnodes.hzn

2 これらの行をコメントアウトします。

#make sure SAAS is up, otherwise we won't have an accurate node list#if test $(curl -X GET -k https://localhost/SAAS/API/1.0/REST/system/health/allOk -sL -w "% {http_code}\\n" -o /dev/null) -ne 200 ; then# echo SAAS not running, aborting# exit 0#fi

次の行もコメントアウトします。

#nodes=$(uniqList true $(enumeratenodenames))

3 プライマリデータセンタークラスタのすべてのノードのホスト名を追加します。完全修飾ドメイン名ではなく、ホスト名のみを使用します。名前をスペースで区切ります。

nodes="<node1> <node2> <node3>"

c クラスタの他のノードの IP アドレスとホスト名のマッピングを /etc/hosts ファイルに追加します。編集しているノードのエントリは追加しないでください。完全修飾ドメイン名または部分修飾ドメイン名を解決できる

DNS エントリがない場合にのみ、この手順が必要です。

<IPaddress> <node2FQDN> <node2>

<IPaddress> <node3FQDN> <node3>

d スクリプトを実行して、RabbitMQ クラスタを構築します。

/usr/local/horizon/scripts/rabbitmqnodes.hzn

3 Ehcache をレプリケーション用に構成します。


a vi /usr/local/horizon/conf/runtime-config.properties

b クラスタのすべてのノードの FQDN を追加します。編集しているノードの FQDN は追加しないでください。FQDN をコロンで区切ります。

ehcache.replication.rmi.servers=<node2FQDN>:<node3FQDN>

例：

ehcache.replication.rmi.servers=server2.example.com:server3.example.com

4 すべてのノードで VMware Identity Manager サービスを再起動します。



82 VMware, Inc.

5 クラスタが正しくセットアップされたことを確認します。

これらのコマンドを最初のクラスタにあるすべてのノードで実行します。

a Elasticsearch の健全性を確認します。

curl 'http://localhost:9200/_cluster/health?pretty'

このコマンドによって、次のような結果が返されます。

{ "cluster_name" : "horizon", "status" : "green", "timed_out" : false, "number_of_nodes" : 3, "number_of_data_nodes" : 3, "active_primary_shards" : 20, "active_shards" : 40, "relocating_shards" : 0, "initializing_shards" : 0, "unassigned_shards" : 0, "delayed_unassigned_shards" : 0, "number_of_pending_tasks" : 0, "number_of_in_flight_fetch" : 0}

問題がある場合には、「Elasticsearch と RabbitMQ のトラブルシューティング (P. 100)」を参照してください。

b RabbitMQ の健全性を確認します。



Cluster status of node 'rabbitmq@node3' ...[{nodes,[{disc,['rabbitmq@node2','rabbitmq@node3']}]}, {running_nodes,['rabbitmq@node3']}, {cluster_name,<<"[email protected]">>}, {partitions,[]}, {alarms,[{'rabbitmq@node3',[]}]}]

問題がある場合には、「Elasticsearch と RabbitMQ のトラブルシューティング (P. 100)」を参照してください。

c /opt/vmware/horizon/workspace/logs/ horizon.log ファイルにこの行が含まれていることを確認します。

Added ehcache replication peer: //node3.example.com:40002

このホスト名は、クラスタ内の他のノード名にする必要があります。

次に進む前に

セカンダリデータセンターでクラスタを作成します。最初の VMware Identity Manager 仮想アプライアンスの OVAファイルをプライマリデータセンタークラスタからエクスポートし、そのファイルを使用して新しい仮想アプライアンスをセカンダリデータセンターに展開して、ノードを作成します。


VMware, Inc. 83

セカンダリデータセンターでの VMware Identity Manager 仮想アプライアンスの作成

セカンダリデータセンターで VMware Identity Manager クラスタをセットアップするには、元のVMware Identity Manager アプライアンスの OVA ファイルをプライマリデータセンターにエクスポートし、そのファイルを使用してセカンダリデータセンターにアプライアンスを展開します。

開始する前に

n プライマリデータセンターの元の VMware Identity Manager アプライアンスからエクスポートしたVMware Identity Manager OVA ファイル

n セカンダリデータセンターの IP アドレスと DNS レコード

手順

1 プライマリデータセンターで、元の VMware Identity Manager アプライアンスの OVA ファイルをエクスポートします。

詳細については、vSphere のドキュメントを参照してください。

2 セカンダリデータセンターで、エクスポートされた VMware Identity Manager OVA ファイルを展開して新しいノードを作成します。

詳細については、vSphere のドキュメントを参照してください。「VMware Identity Manager OVA ファイルの展開 (P. 19)」も参照してください。

3 VMware Identity Manager アプライアンスがパワーオンしたら、それぞれのアプライアンス構成を更新します。

セカンダリデータセンターの VMware Identity Manager アプライアンスは、プライマリデータセンターの元のVMware Identity Manager アプライアンスの完全なコピーです。Active Directory との同期、およびプライマリデータセンターで構成されるリソースとの同期は無効になります。

次に進む前に

管理コンソールページに移動して、次のように構成します。

n プライマリデータセンターの元の VMware Identity Manager アプライアンスでの構成と同様に、[ドメインに参加] を有効にします。

n [認証アダプタ] ページで、プライマリデータセンターで構成されている認証方法を追加します。

n プライマリデータセンターで構成されていれば、[ディレクトリ認証方法] ページで Windows 認証を有効にします。

アプライアンス設定の [証明書のインストール] ページに移動して、証明機関の署名入りの証明書を追加し、プライマリデータセンターの VMware Identity Manager アプライアンスで証明書を複製します。「SSL 証明書の使用 (P. 35)」を参照してください。

セカンダリデータセンターでのノードの構成

プライマリデータセンターからエクスポートされた OVA ファイルを使用してセカンダリデータセンターでノードを作成したら、ノードを構成します。

セカンダリデータセンターにある各ノードでこれらの手順に従って操作します。


84 VMware, Inc.

手順

u IP アドレステーブルを更新します。

a /usr/local/horizon/conf/flags/enable.rabbitmq ファイルが存在することを確認します。

touch /usr/local/horizon/conf/flags/enable.rabbitmq

b /usr/local/horizon/scripts/updateiptables.hzn ファイルで、セカンダリデータセンターにあるすべてのノードの IP アドレスを更新します。

1 vi /usr/local/horizon/scripts/updateiptables.hzn

2 ALL_IPS 行を見つけ、置換します。スペースで区切って IP アドレスを指定します。

ALL_IPS="<Node1_IPaddress> <Node2_IPaddress> <Node3_IPaddress>"

3 このスクリプトを実行して、ポートを開きます。

/usr/local/horizon/scripts/updateiptables.hzn

c Elasticsearch、RabbitMQ、および Ehcache レプリケーションのノードを構成し、それらが正しくセットアップされていることを確認します。

「レプリケーションのためのプライマリデータセンターの変更 (P. 81)」の操作手順を参照し、セカンダリデータセンターのノードに適用します。

cron ジョブはすでに無効になっています。

セカンダリデータセンターで runtime-config.properties ファイルを編集する

SQL Server Always On 以外のデータベースを使用して展開してる場合、セカンダリデータセンターのVMware Identity Manager アプライアンスの runtime-config.properties ファイルを編集して、セカンダリデータセンターのデータベースを指定し、アプライアンスを読み取り専用アクセスに構成するように JDBC URL を変更する必要があります。SQL Server Always On を展開して使用している場合は、この手順は不要です。

セカンダリデータセンターの各 VMware Identity Manager アプライアンスでこれらの変更を行います。

手順

1 ssh クライアントを使用して、VMware Identity Manager アプライアンスに root ユーザーとしてログインします。

2 runtime-config.properties ファイルを /usr/local/horizon/conf/runtime-config.propertiesで開きます。

3 セカンダリデータセンターのデータベースを参照するよう JDBC URL を変更します。

「外部データベース使用のための VMware Identity Manager の構成 (P. 35)」を参照してください。

4 読み取り専用アクセスになるよう VMware Identity Manager アプライアンスを構成します。

行 read.only.service=true を追加します。

5 アプライアンス上の Tomcat サーバを再起動します。



VMware, Inc. 85

Horizon View および Citrix ベースのリソースのフェイルオーバー順序の構成

Horizon View および Citrix ベースのリソースについては、どのデータセンターでも適切なリソースが利用できるように、プライマリデータセンターとセカンダリデータセンターの両方で、リソースのフェイルオーバー順序を構成する必要があります。

サービスインスタンスごとに組織内のリソースのフェイルオーバー順序を含めたデータベーステーブルを作成するには、hznAdminTool コマンドを使用します。リソースが起動するときに、構成されたフェイルオーバー順序が使用されます。両方のデータセンターで hznAdminTool failoverConfiguration を実行して、フェイルオーバー順序をセットアップします。

開始する前に

VMware Identity Manager が複数のデータセンターで展開されると、同じリソースが各データセンターでもセットアップされます。View ポッドまたは Citrix ベースの XenFarm にある各アプリケーションまたはデスクトッププールは、VMware Identity Manager のカタログにおいて異なるリソースと見なされます。カタログでのリソースの重複を防止するには、管理コンソールの [View プール] ページまたは [公開アプリケーション - Citrix] ページの [重複アプリケーションを同期しない] を有効にしていることを確認します。

手順


2 サーバインスタンスのリストを表示するには、hznAdminTool serviceInstances と入力します。

サービスインスタンスのリストが、割り当てられている ID 番号とともに表示されます。たとえば、次のように表示されます。

{"id":103,"hostName":"ws4.domain.com","ipaddress":"10.142.28.92"}{"id":154,"hostName":"ws3.domain.com","ipaddress":"10.142.28.91"}{"id":1,"hostName":"ws1.domain.com","ipaddress":"10.143.104.176"}{"id":52,"hostName":"ws2.domain.com","ipaddress":"10.143.104.177"}

3 組織内の各サービスインスタンスについて、View および Citrix ベースのリソースのフェイルオーバー順序を構成し、

「hznAdminTool failoverConfiguration -configType <configType> -configuration<configuration> -serviceInstanceId <serviceInstanceId> [-orgId <orgId>]」と入力します。


-configType フェイルオーバーに構成されているリソースタイプを入力します。値は VIEW かXENAPP のいずれかになります。

-configuration フェイルオーバーの順序を入力します。構成タイプが VIEW の場合は、管理コンソールの [View プール] ページに表示されている、プライマリ View 接続サーバのホスト名のカンマ区切りリストとして入力します。構成タイプが XENAPP の場合は、XenFarm 名のカンマ区切りリストとして入力します。

-serviceInstanceId 構成が設定されているサービスインスタンスの ID を入力します。この ID は、手順2 で表示されたリストに記載されています。"id":

-orgId （オプション）空白のままにすると、デフォルトの組織向け構成が設定されます。

たとえば、 hznAdminTool failoverConfiguration -configType VIEW -configuration

pod1vcs1.domain.com,pod2vcs1.hs.trcint.com -orgId 1 -serviceInstanceId 1 となります。

セカンダリデータセンターの VMware Identity Manager インスタンス向けにこのコマンドを入力すると、View接続サーバの順序が逆になります。この例では、コマンドは hznAdminTool failoverConfiguration -configType VIEW -configuration pod2vcs1.hs.trcint.com, pod1vcs1.domain.com -orgId 1

-serviceInstanceId 103 のようになります。

リソースフェイルオーバーのデータベーステーブルが、各データセンター用にセットアップされます。


86 VMware, Inc.

次に進む前に

View および Citrix ベースの各リソースについて、既存のフェイルオーバー構成を表示するには、 hznAdminToolfailoverConfigurationList -configType <configtype> -<orgId) を実行します。

<configtype> の値は、VIEW か XENAPP のいずれかになります。configType が VIEW の場合の hznAdminToolfailoverConfiguraitonList の出力例は、次のとおりです。

{"idOrganization":1,"serviceInstanceId":52,"configType":"VIEW","configuration":"pod1vcs1.domain.com,pod2vcs1.domain.com"}{"idOrganization":1,"serviceInstanceId":103,"configType":"VIEW","configuration":"pod2vcs1.domain.com,pod1vcs1.domain.com"}{"idOrganization":1,"serviceInstanceId":154,"configType":"VIEW","configuration":"pod2vcs1.domain.com,pod1vcs1.domain.com"}

データベースのフェイルオーバーを構成する

VMware Identity Manager では、プライマリデータセンター内のデータベースサーバ全体およびセカンダリデータセンター全体にわたってデータの一貫性が保たれるようにデータベースレプリケーションが構成されます。

高可用性のために外部データベースを構成する必要があります。マスターおよびスレーブデータベースアーキテクチャを構成します。その際、スレーブはマスターの完全なレプリカとなります。

詳細は、外部データベースのドキュメントを参照してください。

SQL Server Always On を使用している場合は、各 VMware Identity Manager アプライアンスでデータベースを構成するときに、SQL Server リスナーのホスト名または IP アドレスを使用します。例：

jdbc:sqlserver://<<リスナー_ホスト名>>;DatabaseName=saas

セカンダリデータセンターへのフェイルオーバープライマリデータセンターに障害が発生した場合、セカンダリデータセンターにフェイルオーバーできます。フェイルオーバーでは、セカンダリデータセンターのロードバランサを指定するようにグローバルロードバランサまたは DNSレコードを変更する必要があります。

データベースのセットアップ環境によって、セカンダリデータセンターの VMware Identity Manager アプライアンスは読み取り専用モードまたは読み取り/書き込みモードのいずれかになります。SQL Server Always On 以外のすべてのデータベースでは、VMware Identity Manager アプライアンスは読み取り専用モードになります。したがって、ユーザーやアプリケーションの追加、ユーザーへの資格付与など、ほとんどの管理者操作は利用できません。

SQL Server Always On を展開して使用している場合、セカンダリデータセンターの VMware Identity Manager アプライアンスは読み取り/書き込みモードになります。

DNS レコードを使用したアクティブとなるデータセンターの制御

ドメインネームシステム (DNS) レコードを使用して、データセンターのユーザートラフィックをルーティングしている場合、通常の運用状況下では、DNS レコードはプライマリデータセンターのロードバランサを指定する必要があります。

プライマリデータセンターが利用できなくなる場合、セカンダリデータセンターのロードバランサを指定するようにDNS レコードを更新する必要があります。

プライマリデータセンターが再び利用できるようになったら、プライマリデータセンターのロードバランサを指定するように DNS レコードを更新する必要があります。

DNS レコードの生存時間 (TTL) の設定

生存時間 (TTL) の設定によって、DNS 関連の情報がキャッシュで更新されるまでの時間の長さが決定します。View デスクトップとアプリケーションをシームレスにフェイルオーバーさせるため、必ず、DNS レコードの生存時間 (TTL) を短く設定してください。 TTL をあまりにも長く設定すると、フェイルオーバーの後、ユーザーはすぐに View デスクトップとアプリケーションにアクセスできない場合があります。DNS を迅速に更新できるようにするには、DNS TTL を 30 秒に設定します。


VMware, Inc. 87

読み取り専用モードでは利用できない VMware Identity Manager のアクティビティ

読み取り専用モードでの VMware Identity Manager の使用は、エンドユーザーがマイアプリポータルでリソースにアクセスできるようにする高可用性環境を実現することを想定しています。VMware Identity Manager の管理コンソールおよび他の管理サービスページでの一部のアクティビティは、読み取り専用モードでは利用できない場合があります。次のリストでは、利用できない一般的なアクティビティの一部を示しています。

VMware Identity Manager が読み取り専用モードで動作しているときは、Active Directory またはデータベースでの変更に関係する操作を行えず、また VMware Identity Manager データベースとの同期は実行されません。

この間、データベースへの書き込みを必要とする管理機能も利用できません。VMware Identity Manager が読み取りおよび書き込みノードに戻るまで待つ必要があります。

読み取り専用モードの VMware Identity Manager 管理コンソール

以下は、読み取り専用モードの管理コンソールでの制限の一部を示しています。

n [ユーザーとグループ] タブでのユーザーおよびグループの追加、削除、編集

n [カタログ] タブでのアプリケーションの追加、削除、編集

n アプリケーションの使用資格の追加、削除、編集

n ブランド情報の変更

n ユーザーおよびグループを追加、編集、削除するディレクトリ同期

n View、XenApp、その他リソースを含むリソースについての情報の編集

n [認証方法] ページの編集

注意管理コンソールには、セカンダリデータセンターの VMware Identity Manager アプライアンスのコネクタコンポーネントが表示されます。同期コネクタとして、セカンダリデータセンターからコネクタを選択しないようにしてください。

読み取り専用モードの [仮想アプライアンスの構成] ページ

以下は、読み取り専用モードの [アプライアンス構成] ページでの制限の一部を示しています。

n データベース接続のセットアップのテスト

n [パスワードの変更] ページでの管理者パスワードの変更

読み取り専用モードのエンドユーザー向けアプリケーションポータル

VMware Identity Manager が読み取り専用モードのとき、ユーザーは自身の VMware Identity Manager ポータルにログインし、リソースにアクセスできます。エンドユーザーポータルにおける次の機能は、読み取り専用モードでは利用できません。

n お気に入りとしてリソースにマークを付ける、またはお気に入りとして付けたマークをリソースから外す

n [カタログ] ページからのリソースの追加、または [ランチャ] ページからのリソースの削除

n アプリケーションポータルページからのパスワードの変更

読み取り専用モード VMware Identity Manager Windows クライアント

VMware Identity Manager が読み取り専用モードのとき、ユーザーは Windows クライアントを新たにセットアップすることはできません。既存の Windows クライアントは継続して動作します。


88 VMware, Inc.

プライマリデータセンターへのフェイルバックほとんどの障害発生のシナリオでは、データセンターの機能が復帰した後にプライマリデータセンターにフェールバックできます。

手順

1 プライマリデータセンターのロードバランサを指定するようにグローバルロードバランサまたは DNS レコードを変更します。

「DNS レコードを使用したアクティブとなるデータセンターの制御 (P. 87)」を参照してください。

2 セカンダリデータセンターのキャッシュを消去します。

REST API を使用してキャッシュを消去できます。

パス：/SAAS/jersey/manager/api/removeAllCaches

方法：POST

許可されるロール：オペレータのみ

セカンダリデータセンターからプライマリデータセンターへの昇格データセンターの障害が長引く場合、セカンダリデータセンターをプライマリに昇格できます。

SQL Server Always On 環境では、変更は必要ありません。他のデータベース構成では、アプライアンスを読み取り/書き込みモードに構成するには、セカンダリデータセンターの VMware Identity Manager アプライアンスで runtime-config.properties ファイルを編集する必要があります。

セカンダリデータセンターの各 VMware Identity Manager アプライアンスでこれらの変更を行います。

手順


2 /usr/local/horizon/conf/runtime-config.properties ファイルを開いて編集します。

3 read.only.service=true 行を read.only.service=false に変更します。

4 runtime-config.properties ファイルを保存します。

5 アプライアンス上の Tomcat サーバを再起動します。


ダウンタイムを発生させずに VMware Identity Manager をアップグレードするマルチデータセンターを展開している場合、ダウンタイムを発生させずに、VMware Identity Manager の次のバージョンにアップグレードできます。システムを停止することなくアップグレードするには、この推奨ワークフローを使用します。

これらの手順を実行するときには、「フェイルオーバーと冗長化のためのセカンダリデータセンターへの VMware IdentityManager の展開 (P. 78)」の図を参照してください。

手順

1 グローバルロードバランサのルーティングを切り替えて、要求を DC2 LB に送信します。

2 データベースのレプリケーションを停止します。

3 vIDM1 仮想アプライアンス、vIDM2 仮想アプライアンス、vIDM3 仮想アプライアンスの順番に更新します。

4 DC1-LB を使用して更新をテストします。

5 問題がなければ、グローバルロードバランサを切り替えて DC1 LB に要求をルーティングします。


VMware, Inc. 89

6 vIDM4 仮想アプライアンス、vIDM5 仮想アプライアンス、vIDM6 仮想アプライアンスの順番に更新します。

7 DC2-LB を使用して更新をテストします。

8 データベースのレプリケーションを開始します。


90 VMware, Inc.

追加コネクタアプライアンスのインストール 7

コネクタは、VMware Identity Manager サービスの一部です。VMware Identity Manager 仮想アプライアンスをインストールする際、コネクタコンポーネントはデフォルトで常に含まれます。

コネクタは、次の機能を実行します。

n エンタープライズディレクトリと、サービスで作成した対応ディレクトリ間でユーザーとグループのデータを同期します。

n ID プロバイダとして使用される場合、サービスに対してユーザーを認証します。

コネクタは、デフォルトの ID プロバイダになります。

コネクタはサービスの一部として提供されるため、標準的な展開環境では、追加コネクタをインストールする必要はあり

ません。

ただし、状況によっては、追加コネクタが必要になる場合があります。例：

n ディレクトリタイプが異なる複数の Active Directory（統合 Windows 認証）を使用している場合は、それぞれに個別のコネクタが必要です。

コネクタインスタンスは、複数のディレクトリと関連付けることができます。ワーカーと呼ばれるパーティションが各ディレクトリのコネクタで作成されます。ただし、同じコネクタインスタンスでは、統合 Windows 認証タイプの 2 つのワーカーを使用することはできません。

n 社内または外部のどちらからログインするかによって、ユーザーのアクセスを管理したい場合。

n 証明書ベースの認証を使用したいが、ロードバランサで SSL が終端するように構成されている場合。証明書認証では、ロードバランサでの SSL パススルーが要求されます。

追加コネクタをインストールするには、次のタスクを実行します。

n コネクタ OVA パッケージをダウンロードします。

n サービスでアクティベーショントークンを生成します。

n コネクタ仮想アプライアンスを展開します。

n コネクタ設定を構成します。

展開する追加コネクタはすべてサービスのユーザーインターフェイスで表示されます。


n コネクタのアクティブ化コードを生成する (P. 92)

n コネクタ OVA ファイルを展開する (P. 92)

n コネクタの設定 (P. 93)

VMware, Inc. 91

コネクタのアクティブ化コードを生成する

コネクタ仮想アプライアンスを展開する前に、新しいコネクタのアクティブ化コードを VMware Identity Manager サービスから生成します。コネクタのアクティブ化コードは、サービスとコネクタ間の通信を確立するために使用されます。

手順



3 [セットアップ] をクリックします。

4 [コネクタ] ページで、[コネクタを追加] をクリックします。

5 新しいコネクタインスタンスの名前を入力します。

6 [アクティブ化コードを生成] をクリックします。

アクティブ化コードが [コネクタのアクティブ化コード] フィールドに表示されます。

7 コネクタのアクティブ化コードをコピーして保存します。

アクティブ化コードは、コネクタセットアップウィザードを実行するときに使用します。

次に進む前に

コネクタ仮想アプライアンスをインストールします。

コネクタ OVA ファイルを展開するコネクタ OVA ファイルをダウンロードし、VMware vSphere Client または vSphere Web Client を使用して展開します。

開始する前に

n コネクタ OVA の展開に使用する DNS レコードとホスト名を特定します。

n vSphere Web Client を使用する場合は、Firefox ブラウザまたは Chrome ブラウザを使用します。Internet Explorerを使用して OVA ファイルを展開しないでください。

n コネクタ OVA ファイルをダウンロードします。

手順

1 vSphere Client または vSphere Web Client で、[ファイル] - [OVF テンプレートを展開] を選択します。

2 [OVF テンプレートの展開] ページで、使用環境のコネクタの展開に固有の情報を入力します。

ページ説明

vCenter サーバの IPアドレス OVA パッケージの場所を参照するか、または特定の URL を入力します。

OVA テンプレートの詳細正しいバージョンを選択していることを確認します。

ライセンスエンドユーザー使用許諾契約を読み、[同意する] をクリックします。

名前と場所仮想アプライアンスの名前を入力します。名前はインベントリフォルダ内で一意である必要があり、最大で 80 文字指定できます。名前の大文字と小文字は区別されます。仮想アプライアンスの場所を選択します。

ホスト/クラスタホストまたはクラスタを選択して展開したテンプレートを実行します。

リソースプールリソースプールを選択します。

ストレージ仮想マシンファイルを格納する場所を選択します。

ディスク形式ファイルのディスク形式を選択します。本番環境の場合は、[シックプロビジョニング] 形式を選択します。評価やテストには [シンプロビジョニング] 形式を使用します。


92 VMware, Inc.

ページ説明

ネットワークのマッピングユーザーの環境のネットワークを OVF テンプレートのネットワークにマッピングします。

プロパティ a [タイムゾーンの設定] フィールドで、正しいタイムゾーンを選択します。b デフォルトでは、[カスタマエクスペリエンス改善プログラム] チェックボック

スはオンになっています。VMware はお客様のご要望への対応を向上させるために、お客様の展開環境に関する匿名データを収集します。データを収集されたく

ない場合は、チェックボックスをオフにします。c [ホスト名] テキストボックスに、使用するホスト名を入力します。空白にする

と、逆引き DNS を使用してホスト名が参照されます。d コネクタに固定 IP アドレスを構成するには、デフォルトゲートウェイ、DNS、

IP アドレス、およびネットマスクのそれぞれにアドレスを入力します。重要ホスト名を含む 4 つのアドレスフィールドのいずれかが空白の場合は、DHCP が使用されます。

DHCP を構成する場合は、アドレスフィールドを空白のままにしておきます。

設定の確認選択内容を確認し、[終了] をクリックします。ネットワークの速度によっては、展開に数分かかることがあります。進捗のダイアログボックスで進捗状況を表示できます。

3 展開が完了したら、アプライアンスを選択して右クリックし、[パワー] - [パワーオン] を選択します。

アプライアンスは初期化されます。[コンソール] タブで詳細を確認できます。仮想アプライアンスの初期化が完了すると、コンソール画面にのバージョンと、セットアップウィザードにログインしてセットアップを完了するためのURL が表示されます。

次に進む前に

セットアップウィザードを使用して、アクティブ化コードと管理者パスワードを追加します。

コネクタの設定コネクタ OVA を展開してインストールしたら、セットアップウィザードを実行してアプライアンスのアクティベーションを行い、管理者パスワードを構成します。

開始する前に

n 新しいコネクタのアクティベーションコードを入手しています。「コネクタのアクティブ化コードを生成する (P. 92)」を参照してください。

n コネクタアプライアンスがパワーオンされていること、そしてコネクタの URL を把握していることを確認します。

n コネクタ管理者、root アカウントおよび sshuser アカウントに使用するパスワードのリストを収集します。

手順

1 セットアップウィザードを実行するには、OVA が展開された後に [コンソール] タブに表示されたコネクタの URLを入力します。

2 [ようこそ] ページで、[続行] をクリックします。

第 7 章追加コネクタアプライアンスのインストール

VMware, Inc. 93

3 次のコネクタ仮想アプライアンスの管理者アカウントでは強力なパスワードを作成します。

強度の高いパスワードの長さは、少なくとも 8 文字であり、大文字と小文字が含まれ、少なくとも 1 つ数字および特殊文字が含まれる必要があります。


アプライアンス管理者アプライアンス管理者のパスワードを作成します。ユーザー名は [admin] です。変更することはできません。このアカウントとパスワードを使用してコネクタサービスにログインし、証明書、アプライアンスのパスワード、および syslog の構成を管理します。

重要 [admin] ユーザーは、6 文字以上のパスワードを使用する必要があります。

root アカウントデフォルトの VMware root パスワードが、コネクタアプライアンスのインストールに使用されました。新しい root パスワードを作成します。

sshuser アカウントコネクタアプライアンスへのリモートアクセスに使用するパスワードを作成します。

4 [続行] をクリックします。

5 [コネクタのアクティベーション] ページで、アクティベーションコードを貼り付けて、[続行] をクリックします。

アクティベーションコードが検証され、サービスとコネクタインスタンス間の通信が確立されます。

コネクタの構成は完了です。

次に進む前に

サービスでは、ニーズに基づいて環境をセットアップします。たとえば、2 つの統合 Windows 認証ディレクトリを同期させるためにコネクタを追加した場合は、ディレクトリを作成し、それを新しいコネクタと関連付けます。

コネクタの SSL 証明書を構成します。「SSL 証明書の使用 (P. 35)」を参照してください。


94 VMware, Inc.

iOS デバイスでの Kerberos 認証の使用準備 8VMware Identity Manager サービスを最初に展開すると、ユーザー認証と管理に既存の Active Directory インフラストラクチャが使用されます。管理コンソールで、Kerberos、Certificate、RSA SecurID などの他の認証ソリューションをサービスに統合できます。AirWatch によって管理された iOS デバイスのモバイル SSO 認証では、管理コンソールから認証方法を有効にする前に、アプライアンスでキー配布センター (KDC) を手動で初期化します。

Kerberos 認証によって、ドメインに正常にログインしたユーザーは、認証を再度行わずにアプリケーションポータルにアクセスできます。Kerberos を使用した iOS デバイスをサポートするため、VMware Identity Manager は組み込みのKerberos 認証方法として iOS 版モバイル SSO を提供しています。これによって、コネクタやサードパーティシステムを使用せずに、組み込みの ID プロバイダ内で KDC にアクセスできます。

KDC を初期化してサービスを再起動したら、Kerberos クライアントが KDC を検索ができるように、パブリック DNSエントリを作成します。

iOS 版モバイル SSO 認証方法を使用するには、AirWatch と VMware Identity Manager サービスの両方を構成する必要があります。『VMware Identity Manager 管理ガイド』の「AirWatch が管理する iOS デバイス用の組み込みのKerberos 認証の実装」を参照してください。


n KDC を構成する前の決定事項 (P. 95)

n アプライアンスのキー配布センターの初期化 (P. 96)

n 組み込みの Kerberos が使用する KDC 用パブリック DNS エントリの作成 (P. 97)

KDC を構成する前の決定事項VMware Identity Manager で KDC を初期化する前に、KDC サーバのレルム名を決めます。また、展開環境にサブドメインを含めるかどうか、デフォルトの KDC サーバ証明書を使用するかどうかを決めます。

レルム

レルムは、認証データを保持する管理エンティティの名前です。Kerberos 認証レルムには分かりやすい名前を選択することが重要です。レルム名は、企業が構成できる DNS ドメインの一部である必要があります。

レルム名は、VMware Identity Manager サービスにアクセスするために使用される完全修飾ドメイン名 (FQDN) から独立しています。企業は、レルム名と FQDN の両方に対し、DNS ドメインを制御する必要があります。一般的には、レルム名をドメイン名と同一とし、大文字で指定します。ドメイン名とは異なるレルム名を指定することもあります。たとえ

ば、レルム名が <EXAMPLE.NET> で、<idm.example.com> が VMware Identity Manager の FQDN であるとします。この場合、<example.net> と <example.com> の両方について、DNS エントリを定義します。

レルム名は、Kerberos クライアントが DNS 名を生成するために使用します。たとえば、名前が example.com の場合、TCP を介して KDC にコンタクトする Kerberos 関連の名前は <_kerberos._tcp.EXAMPLE.COM> です。

VMware, Inc. 95

サブドメインの使用

オンプレミス環境にインストールされた VMware Identity Manager サービスは、VMware Identity Manager FQDNサブドメインを使用することができます。VMware Identity Manager サイトが複数の DNS ドメインにアクセスする場合は、ドメインを location1.example.com、location2.example.com、location3.example.com として構成します。このとき、小文字で指定される example.com がサブドメインの値となります。環境でサブドメインを構成する場合は、サービスサポートチームと連携してください。

KDC サーバ証明書の使用KDC が初期化されると、デフォルトで KDC サーバ証明書と自己署名ルート証明書が生成されます。証明書は、KDC サーバ証明書を発行するために使用されます。このルート証明書はデバイスプロファイルに含まれるので、デバイスは KDCを信頼できます。

KDC サーバ証明書は、エンタープライズルートまたは中間証明書を使用して手動で生成できます。この機能の詳細については、サービスサポートチームにお問い合わせください。

KDC サーバルート証明書は VMware Identity Manager 管理コンソールからダウンロードして、iOS デバイス管理プロファイルの AirWatch 構成で使用できます。

アプライアンスのキー配布センターの初期化

iOS 版モバイル SSO 認証を使用するには、まず VMware Identity Manager アプライアンスでキー配布センター (KDC)を初期化する必要があります。

KDC を初期化するには、VMware Identity Manager ホスト名を Kerberos レルムに割り当てます。ドメイン名は大文字で入力します。複数の Kerberos レルムを構成している場合は、レルムを特定しやすくするために、Identity Managerのドメイン名で終わる分かりやすい名前を使用してください。たとえば、SALES.MY-IDENTITYMANAGER.EXAMPLE.COM のように入力します。サブドメインを構成する場合は、サブドメイン名を小文字で入力します。

開始する前に

VMware Identity Manager がインストールされ、構成されていること。

レルム名が特定されていること。「KDC を構成する前の決定事項 (P. 95)」を参照してください。

手順

1 SSH 接続を使用して、VMware Identity Manager アプライアンスに root ユーザーとしてログインします。

2 KDC を初期化します。/etc/init.d/vmware-kdc init --realm {REALM.COM} --subdomain {sva-name.subdomain} と入力します。

次に例を示します。/etc/init.d/vmware-kdc init --realm MY-IDM.EXAMPLE.COM --subdomain my-idm.example.com

複数の Identity Manager アプライアンスにロードバランサを使用している場合、ロードバランサの名前には大文字と小文字の両方を使用します。

3 VMWare Identity Manager サービスを再起動します。service horizon-workspace restart と入力します。

4 KDC サービスを起動します。service vmware-kdc restart と入力します。

次に進む前に

パブリック DNS エントリを作成します。クライアントが KDC を見つけることができるように、DNS レコードのプロビジョニングを行う必要があります。「組み込みの Kerberos が使用する KDC 用パブリック DNS エントリの作成 (P. 97)」を参照してください。


96 VMware, Inc.

組み込みの Kerberos が使用する KDC 用パブリック DNS エントリの作成VMware Identity Manager で KDC を初期化した後は、組み込みの Kerberos 認証機能が有効な場合に Kerberos クライアントが KDC を検索できるように、パブリック DNS レコードを作成する必要があります。

KDC サービスの検出に使用される VMware Identity Manager アプライアンスエントリの DNS 名の一部として、KDCレルム名が使用されます。各 VMware Identity Manager サイトおよび 2 つの A アドレスエントリに対して、SRV DNSレコードが 1 つ必要です。

注意 AAAA エントリ値は、IPv4 アドレスをエンコードする IPv6 アドレスです。KDC が IPv6 アドレスを名前解決できず、IPv4 アドレスが使用される場合、DNS サーバでは、AAAA エントリを厳密な IPv6 表記の ::ffff:175c:e147 として指定する必要があります。Neustar. UltraTools などの IPv4 から IPv6 への変換ツールを使用すると、IPv4 を IPv6アドレス表記に変換できます。

例: KDC 用の DNS レコードエントリ次に示す DNS レコードの例では、レルムが EXAMPLE.COM、VMware Identity Manager の完全修飾ドメイン名がidm.example.com、VMware Identity Manager IP アドレスが 1.2.3.4 です。

idm.example.com. 1800 IN AAAA ::ffff:1.2.3.4

idm.example.com. 1800 IN A 1.2.3.4

_kerberos._tcp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.

_kerberos._udp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.

第 8 章 iOS デバイスでの Kerberos 認証の使用準備

VMware, Inc. 97


98 VMware, Inc.

インストールおよび構成のトラブルシューティング 9

トラブルシューティングのトピックでは、VMware Identity Manager のインストールまたは構成で発生する可能性がある問題の解決策を説明します。


n ロードバランシングされた環境で、ユーザーがアプリケーションを起動できない、または不適切な認証方法が適用されている (P. 99)

n ディレクトリの同期後にグループにメンバーが表示されない (P. 100)

n Elasticsearch と RabbitMQ のトラブルシューティング (P. 100)

ロードバランシングされた環境で、ユーザーがアプリケーションを起動できない、または不適切な認証方法が適用されている

ロードバランシングされた環境で、ユーザーが Workspace ONE ポータルからアプリケーションを起動できないか、不適切な認証方法が適用されています。

問題

ロードバランシングされた環境では、次のような問題が発生することがあります。

n ユーザーがログイン後に Workspace ONE ポータルからアプリケーションを起動できない。

n ステップアップ認証で、不適切な認証方法がユーザーに指定されている。

原因

これらの問題は、アクセスポリシーが誤って設定されている場合に発生することがあります。ログイン中およびアプリケーション起動中に適用されるアクセスポリシーは、クライアント IP アドレスによって決まります。ロードバランシングされた環境では、VMware Identity Manager は X-Forwarded-For ヘッダーを使用してクライアント IP アドレスを決定します。場合によってはエラーが発生することがあります。

解決方法

VMware Identity Manager クラスタに含まれる各ノードで、runtime-config.properties ファイルのservice.numberOfLoadBalancers プロパティを設定します。このプロパティでは、VMware Identity Manager インスタンスに接続するロードバランサの数を指定します。

注意このプロパティの設定は省略できます。

1 VMware Identity Manager アプライアンスにログインします。

2 /usr/local/horizon/conf/runtime-config.properties ファイルを編集し、次のプロパティを追加します。

VMware, Inc. 99

service.numberOfLoadBalancers < numberOfLBs>

ここで、<numberOfLBs> は、VMware Identity Manager インスタンスに接続されるロードバランサの数です。

3 Workspace アプライアンスを再起動します。


ディレクトリの同期後にグループにメンバーが表示されない

ディレクトリが正常に同期されましたが、同期されたグループにユーザーがまったく表示されません。

問題

ディレクトリが手動または同期スケジュールに基づいて自動で同期された後に、同期が正常に完了しますが、同期された

グループにユーザーがまったく表示されません。

原因

この問題は、クラスタに 2 つ以上のノードがあり、ノード間で 5 秒以上の時刻の差がある場合に発生します。

解決方法

1 ノード間で時刻の差がないことを確認します。クラスタ内のすべてのノードで同じ NTP サーバを使用し、時刻を同期させます。

2 すべてのノードでサービスを再起動します。


3 （オプション）管理コンソールで、グループを削除し、同期設定で再度追加して、ディレクトリを再同期します。

Elasticsearch と RabbitMQ のトラブルシューティングこの情報を使用して、クラスタ環境の Elasticsearch および RabbitMQ の問題をトラブルシューティングします。監査、レポート、ディレクトリ同期ログに使用される検索および分析エンジンである Elasticsearch とメッセージブローカのRabbitMQ が、VMware Identity Manager 仮想アプライアンスに組み込まれています。

Elasticsearch のトラブルシューティングElasticsearch の健全性は、VMware Identity Manager アプライアンスで次のコマンドを使用して確認できます。

curl 'http://localhost:9200/_cluster/health?pretty'


{ "cluster_name" : "horizon", "status" : "green", "timed_out" : false, "number_of_nodes" : 3, "number_of_data_nodes" : 3, "active_primary_shards" : 20, "active_shards" : 40, "relocating_shards" : 0, "initializing_shards" : 0, "unassigned_shards" : 0, "delayed_unassigned_shards" : 0, "number_of_pending_tasks" : 0, "number_of_in_flight_fetch" : 0}


100 VMware, Inc.

Elasticsearch が正しく起動しないか、ステータスが赤色の場合は、次の手順でトラブルシューティングしてください。

1 ポート 9300 が開いていることを確認します。

a クラスタ内のすべてのノードの IP アドレスを /usr/local/horizon/scripts/updateiptables.hznファイルに追加し、ノードの詳細を更新します。

ALL_IPS="node1IPadd node2IPadd node3IPadd"

b クラスタ内のすべてのノードで次のスクリプトを実行します。


2 クラスタのすべてのノードで Elasticsearch を再起動します。

service elasticsearch restart

3 ログで詳細を確認します。

cd /opt/vmware/elasticsearch/logs

tail -f horizon.log

RabbitMQ のトラブルシューティングRabbitMQ の健全性は、VMware Identity Manager アプライアンスで次のコマンドを使用して確認できます。



Cluster status of node 'rabbitmq@node3' ...[{nodes,[{disc,['rabbitmq@node2','rabbitmq@node3']}]}, {running_nodes,['rabbitmq@node3']}, {cluster_name,<<"[email protected]">>}, {partitions,[]}, {alarms,[{'rabbitmq@node3',[]}]}]

RabbitMQ が起動しない、あるいは、健全性を確認するための URLhttps://hostname/SAAS/API/1.0/REST/system/health/ で "MessagingConnectionOk":"false" が表示される場合、次の手順でトラブルシューティングします。

1 ポート 4369、5700、25672 が開いていることを確認します。ポートを開くには：

a 次のコマンドを使用してファイルを作成します。

touch /usr/local/horizon/conf/flags/enable.rabbitmq

b 次のスクリプトを実行します。


2 RabbitMQ を再起動します。

a 既存の rabbitmq プロセスをすべて終了させます。

b rabbitmqctl stop

c rabbitmq-server -detached

3 RabbitMQ が適切に起動しない場合は、VMware Identity Manager サービスを再起動する必要があります。


第 9 章インストールおよび構成のトラブルシューティング

VMware, Inc. 101


102 VMware, Inc.

インデックス

AActive Directory属性マッピング 49統合 Windows 認証 41連携 43

Active Directory グローバルカタログ 43Active Directory との連携 43Active Directory の追加 50Active Directory パスワードの変更 55Active Directory パスワードのリセット 55AD パスワードの変更 55appliance configurator、設定 32

Cconnector-va 73

DDNS、TTL 設定 87DNS サーバリダイレクト 87DNS サービスロケーションルックアップ 44, 46DNS の TTL 設定 87DNS の逆引き 14DNS の正引き 14domain_krb.properties のトラブルシューティン

グ 48domain_krb.properties ファイル 44, 46

EEhcache 81, 84Elasticsearch 81, 84Elasticsearch のトラブルシューティング 100

FFQDN 37FQDN を変更 38

Ggateway-va 73

HHTTP プロキシ 30, 72hznAdminTool、リソースのフェイルオーバー 86

IIdP ホスト名 38

IP プール 21

JJDBC、セカンダリデータセンターでの変更 85

KKDC

DNS エントリの作成 97Identity Manager での初期化 96セットアップ 95

KDC サーバ署名書 95KDC サブドメイン 95KDC レルム 95KDC サービス用 DNS エントリ 97Kerberos レルム 95Kerberos 認証、KDC のセットアップ 95Kerberos、組み込みの KDC 96

LLDAP 経由の Active Directory 41, 50LDAP ディレクトリ連携 56, 57制限事項 56

LinuxSUSE 7システム管理者 7

MMicrosoft SQL データベース 32

OOracle データベース 33OVA ファイルインストール 19展開 19

OVA のインポート 84

RRabbitMQ 81, 84RabbitMQ のトラブルシューティング 100runtime-config.properties ファイル 46, 85

Sservice-va 73, 75service.numberOfLoadBalancers プロパティ 99siteaware.subnet プロパティ 46

VMware, Inc. 103

SMTP サーバ 15, 40SRV ルックアップ 44, 46SSL 証明書、主要証明機関 71SUSE Linux 7syslog サーバ 38

VvCenter、認証 15VMware Identity Manager サービス URL 38

WWindows、システム管理者 7Workspace ポータル、OVA 92

XX-forwarded-for ヘッダー 69

あ

アカウントを無効にする 48アクティブ化コード 92アップグレード 89アプライアンス構成 31

か

外部アクセス 69外部データベース、Configurator 35概要、インストール 9カスタマエクスペリエンス 17仮想アプライアンス、要件 11

き

起動エラー 99逆引き 14

く

クラウド KDC の起動 96クラスタ 73クラスタのノード 73クローンマシン、IP アドレスの追加 75クローンマシンの IP アドレス 75

こ

高可用性 60構成

仮想マシン 69ログ 39

コネクタ、追加インストール 91コネクタセットアップウィザード 93コネクタ URL 38

さ

サービス URL 38

し

自己署名証明書 35システム ID プロバイダ 61システムディレクトリ 61システムドメイン 61冗長性 60, 73–75, 77証明書チェーン 37証明書の追加 36

すスティッキーセッション、ロードバランサ 69

せ

セカンダリデータセンター 78, 80, 84, 87セカンダリデータセンタークラスタ 84

そ属性

デフォルト 48マッピング 49

たタイムアウト、ロードバランサ 69ダウンタイム 89ダウンタイムなしのアップグレード 89

ちチェックリスト

Active Directory ドメインコントローラ 15ネットワーク情報、IP プール 15

つ

追加コネクタ 92

てディレクトリ、追加 41, 50ディレクトリの統合 41データベース 15, 32データベース、内部パスワード 35データベースのフェイルオーバー 87

と

同期設定 49統合 Windows 認証 50ドメイン 49ドメインへの参加 49トラブルシューティング

グループにメンバーが表示されない 100グループにユーザーが表示されない 100ディレクトリ同期 100ユーザーが見つからない 100


104 VMware, Inc.

な内部データベース、高可用性 35

に

認証局 36

ねネットワーク構成、要件 11

はハードウェア

ESX 11要件 11

パスワード

内部データベース 35変更 40有効期限切れ 55

パスワードリセットの E メール 40

ふ

フェイルオーバー、データベースを構成 87フェイルオーバー 60, 73–75, 77, 87フェイルバック 89複数の仮想アプライアンス 75複数の仮想マシン 73複数のデータセンターの展開 84, 89プロキシサーバ設定 30, 72

へ変更

sshuser パスワード 40管理者パスワード 40ルートパスワード 40

ま

マルチドメイン 43マルチデータセンター、DNS リダイレクト 87マルチデータセンターのアップグレード 89マルチデータセンターの展開 78, 81, 84, 87, 89

ゆ

有効期限が切れた Active Directory パスワード 55ユーザー、ユーザー属性 49[ユーザー属性] ページ 48

よ

読み取り専用モード 85読み取り専用モード、エンドユーザーの機能 88読み取り専用モードでの connectgor サービス管理の

制限 88読み取り専用モードでのアプライアンス構成機能の制

限 88読み取り専用モードでの管理コンソールの制限 88

読み取り専用モードでの制限 88読み取り専用モードの制限 88

ら

ライセンス 30

り

リソースのフェイルオーバー順序 86

れレルム、KDC 95

ろローカルディレクトリ

ID プロバイダとの関連付け 66削除 68作成 62, 64ドメインの削除 67ドメインの追加 67ドメイン名の変更 67名前の変更 67編集 67ユーザー属性 67

ローカルディレクトリの設定 67ローカルディレクトリのユーザー属性 63ローカルユーザー 61ローカルユーザーへの E メール 40ロードバランサ 69, 71ログ 39ログの収集 39ログバンドル 39

わ

ワーカー 41Workspaceインストール 19展開 19

インデックス

VMware, Inc. 105


106 VMware, Inc.

VMware Identity Manager のインストールと構成...VMware Identity Manager...

Documents

Transcript of VMware Identity Manager のインストールと構成...VMware Identity Manager...

VMware Identity Manager のインス トールと構成...VMware Identity Manager...

Documents

Transcript of VMware Identity Manager のインス トールと構成...VMware Identity Manager...

VMware Identity Manager のインストールと構成...VMware Identity Manager...

Transcript of VMware Identity Manager のインストールと構成...VMware Identity Manager...