CloudSimple プライベート クラウド上の vCenter の ID プロバイダーとして Azure AD を使用する

VMware 管理者が vCenter にアクセスできるように、Azure Active Directory (Azure AD) で認証するように CloudSimple プライベート クラウド vCenter を設定できます。 シングル サインオン ID ソースを設定した後、 cloudowner ユーザーは ID ソースから vCenter にユーザーを追加できます。

Active Directory ドメインとドメイン コントローラーは、次のいずれかの方法で設定できます。

  • オンプレミスで実行されている Active Directory ドメインとドメイン コントローラー
  • Azure サブスクリプションの仮想マシンとして Azure で実行されている Active Directory ドメインとドメイン コントローラー
  • CloudSimple プライベート クラウドで実行されている新しい Active Directory ドメインとドメイン コントローラー
  • Azure Active Directory サービス

このガイドでは、ID ソースとして Azure AD を設定するために必要なタスクについて説明します。 Azure で実行されているオンプレミスの Active Directory または Active Directory の使用については、ID ソースの設定の詳細な手順については、「 Active Directory を使用するように vCenter ID ソース を設定する」を参照してください。

Azure AD について

Azure AD は、Microsoft マルチテナント、クラウド ベースのディレクトリ、ID 管理サービスです。 Azure AD は、ユーザーが Azure 上のさまざまなサービスを認証してアクセスするための、スケーラブルで一貫性のある信頼性の高い認証メカニズムを提供します。 また、認証/ID ソースとして Azure AD を使用するサードパーティ のサービスに対して、セキュリティで保護された LDAP サービスも提供します。 Azure AD では、コア ディレクトリ サービス、高度な ID ガバナンス、アプリケーション アクセス管理が組み合わせられ、プライベート クラウドを管理するユーザーにプライベート クラウドへのアクセス権を付与するために使用できます。

vCenter で ID ソースとして Azure AD を使用するには、Azure AD と Azure AD ドメイン サービスを設定する必要があります。 手順は次のとおりです。

  1. Azure AD および Azure AD ドメイン サービスを設定する方法
  2. プライベート クラウド vCenter で ID ソースを設定する方法

Azure AD と Azure AD ドメイン サービスを設定する

作業を開始する前に、グローバル管理者特権を使用して Azure サブスクリプションにアクセスする必要があります。 次の手順では、一般的なガイドラインを示します。 詳細については、Azure のドキュメントを参照してください。

Azure AD

既に Azure AD をお持ちの場合は、このセクションをスキップできます。

  1. Azure AD ドキュメントの説明に従って、サブスクリプションに Azure AD を設定します
  2. 「Azure Active Directory Premium へのサインアップ」の説明に従って、サブスクリプションで Azure Active Directory Premium を有効にします。
  3. 「Azure Active Directory へのカスタム ドメイン名の追加」の説明に従って 、カスタム ドメイン名を設定し、カスタム ドメイン名を確認します
    1. Azure で提供される情報を使用して、ドメイン レジストラーに DNS レコードを設定します。
    2. カスタム ドメイン名をプライマリ ドメインに設定します。

必要に応じて、他の Azure AD 機能を構成できます。 これらは、Azure AD で vCenter 認証を有効にするために必要ありません。

Azure AD ドメイン サービス

これは、vCenter の ID ソースとして Azure AD を有効にするための重要な手順です。 問題を回避するには、すべての手順が正しく実行されていることを確認します。

  1. 「Azure portal を使用して Azure Active Directory ドメイン サービスを有効にする」の説明に従って、Azure AD ドメイン サービスを有効にします

  2. 「Azure portal を使用して Azure Active Directory Domain Services を有効にする」の説明に従って 、Azure AD ドメイン サービスで使用されるネットワークを設定します。

  3. 「Azure portal を使用して Azure Active Directory Domain Services を有効にする」の説明に従って 、Azure AD Domain Services を管理するための管理者グループを構成します。

  4. 「Azure Active Directory Domain Services を有効にする」の説明に従って 、Azure AD Domain Services の DNS 設定を更新します。 インターネット経由で AD に接続する場合は、Azure AD ドメイン サービスのパブリック IP アドレスの DNS レコードをドメイン名に設定します。

  5. ユーザーのパスワード ハッシュ同期を有効にします。 この手順により、NT LAN Manager (NTLM) と Kerberos 認証に必要なパスワード ハッシュを Azure AD Domain Services に同期できます。 パスワード ハッシュ同期を設定すると、ユーザーは会社の資格情報を使用してマネージド ドメインにサインインできます。 「Azure Active Directory Domain Services へのパスワード ハッシュ同期を有効にする」を参照してください。

    1. クラウド専用ユーザーが存在する場合は、パスワード ハッシュが NTLM または Kerberos で必要な形式で格納されるように、 Azure AD アクセス パネル を使用してパスワードを変更する必要があります。 クラウド専用ユーザー アカウントのマネージド ドメインへのパスワード ハッシュ同期を有効にする方法に関する記事の手順に従います。 この手順は、Azure portal または Azure AD PowerShell コマンドレットを使用して、Azure AD ディレクトリに作成された個々のユーザーと新しいユーザーに対して実行する必要があります。 Azure AD ドメイン サービスへのアクセスを必要とするユーザーは、 Azure AD アクセス パネル を使用し、自分のプロファイルにアクセスしてパスワードを変更する必要があります。

      組織にクラウド専用ユーザー アカウントがある場合は、Azure Active Directory Domain Services を使用する必要があるすべてのユーザーが自分のパスワードを変更する必要があります。 クラウド専用ユーザー アカウントは、Azure portal または Azure AD PowerShell コマンドレットを使用して Azure AD ディレクトリに作成されたアカウントです。 このようなユーザー アカウントは、オンプレミスのディレクトリから同期されません。

    2. オンプレミスの Active Directory からパスワードを同期する場合は、 Active Directory ドキュメントの手順に従います。

  6. 「Azure AD Domain Services マネージド ドメインの Secure LDAP (LDAPS) の構成」の説明に従って、Azure Active Directory Domain Services で Secure LDAP を構成します

    1. Azure トピックの説明に従って、Secure LDAP で使用する 証明書をアップロードして、Secure LDAP 用の証明書を取得します。 CloudSimple では、vCenter が証明書を信頼できるように、証明機関によって発行された署名付き証明書を使用することをお勧めします。
    2. 「Azure AD Domain Services マネージド ドメインの Secure LDAP (LDAPS) を有効にする」の説明に従って、Secure LDAP を有効にします
    3. ID ソースの構成中に vCenter で使用するために、証明書の公開部分 (秘密キーを除く) を.cer形式で保存します。
    4. Azure AD ドメイン サービスへのインターネット アクセスが必要な場合は、[インターネット経由で LDAP へのセキュリティで保護されたアクセスを許可する] オプションを有効にします。
    5. TCP ポート 636 の Azure AD ドメイン サービス NSG の受信セキュリティ規則を追加します。

プライベート クラウド vCenter で ID ソースを設定する

  1. プライベートクラウドvCenterの権限を昇格させます。

  2. ID ソースの設定に必要な構成パラメーターを収集します。

    オプション 説明
    名前 ID ソースの名前。
    ユーザーのベース DN ユーザーの基本識別名。 Azure AD の場合は、 OU=AADDC Users,DC=<domain>,DC=<domain suffix> 例: OU=AADDC Users,DC=cloudsimplecustomer,DC=comを使用します。
    ドメイン名 ドメインの FQDN (たとえば、example.com)。 このテキスト ボックスには IP アドレスを指定しないでください。
    ドメイン エイリアス (省略可能) ドメイン NetBIOS 名。 SSPI 認証を使用している場合は、ID ソースのエイリアスとして Active Directory ドメインの NetBIOS 名を追加します。
    グループのためのベース DN グループの基準識別名。 Azure AD の場合は、次の例 OU=AADDC Users,DC=<domain>,DC=<domain suffix> 使用します。 OU=AADDC Users,DC=cloudsimplecustomer,DC=com
    プライマリ サーバー URL ドメインのプライマリ ドメイン コントローラー LDAP サーバー。

    ldaps://hostname:port形式を使用します。 LDAPS 接続の場合、ポートは通常 636 です。

    プライマリまたはセカンダリ LDAP URL で ldaps:// を使用する場合は、Active Directory サーバーの LDAPS エンドポイントに対する信頼を確立する証明書が必要です。
    セカンダリサーバーのURLを フェールオーバーに使用されるセカンダリ ドメイン コントローラー LDAP サーバーのアドレス。
    証明書 の選択 Active Directory LDAP サーバーまたは OpenLDAP Server ID ソースで LDAPS を使用する場合は、URL テキスト ボックスに「ldaps://」と入力すると、[証明書の選択] ボタンが表示されます。 セカンダリ URL は必要ありません。
    ユーザー名 ユーザーおよびグループのベースDNに対して、少なくとも読み取り専用アクセス権を持つドメイン内のユーザーのID。
    パスワード ユーザー名で指定されたユーザーのパスワード。

  3. 特権がエスカレートされた後、プライベート クラウド vCenter にサインインします。

  4. 前の手順の値を使用して vCenter に ID ソースを追加 する手順に従って、Azure Active Directory を ID ソースとして設定します。

  5. VMware トピック「vCenter Single Sign-On グループへのメンバーの追加」の説明に従って、Azure AD から vCenter グループにユーザー/グループを追加します。

注意事項

新しいユーザーは、Cloud-Owner-GroupCloud-Global-Cluster-Admin-GroupCloud-Global-Storage-Admin-GroupCloud-Global-Network-Admin-Group、または Cloud-Global-VM-Admin-Groupにのみ追加する必要があります。 Administrators グループに追加されたユーザーは自動的に削除されます。 サービス アカウントのみを Administrators グループに追加する必要があります。

次のステップ

  • Last updated on