Embed Size (px)
Citation preview
Installing and Configuring VMwareIdentity Manager
VMware Identity Manager 2.9.1
Installing and Configuring VMware Identity Manager
2 VMware, Inc.
You can find the most up-to-date technical documentation on the VMware Web site at:
https://docs.vmware.com/
The VMware Web site also provides the latest product updates.
If you have comments about this documentation, submit your feedback to:
Copyright © 2013 – 2017 VMware, Inc. All rights reserved. Copyright and trademark information.
VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com
Contents
VMware Identity Manager のインストールと構成 7
1 VMware Identity Manager のインストールの準備 9
System and Network Configuration Requirements 11VMware Identity Manager の展開の準備 14
DNS レコードと IP アドレスの作成 15Database Options with VMware Identity Manager 15エンタープライズ ディレクトリへの接続 16展開チェックリスト 16
カスタマー エクスペリエンス改善プログラム 17
2 VMware Identity Manager の展開 19
VMware Identity Manager OVA ファイルの展開 19(オプション)IP プールの追加 21VMware Identity Manager の設定 22VMware Identity Manager のためのプロキシ サーバの設定 30ライセンス キーの入力 30
3 アプライアンス システム構成設定の管理 31
アプライアンスの構成設定の変更 32Connecting to the Database 32
Microsoft SQL データベースの構成 32Oracle データベースの構成 34内部データベースの管理 35Configure VMware Identity Manager to Use an External Database 35
SSL 証明書の使用 36パブリック証明機関の適用 36SSL 証明書の追加 38
VMware Identity Manager サービス URL の変更 38コネクタ URL の変更 39Syslog サーバの有効化 39ログ ファイル情報 39
ログ情報の収集 40アプライアンスのパスワードを管理する 40SMTP 設定を構成する 41
4 エンタープライズ ディレクトリとの統合 43
ディレクトリ統合に関連する重要な概念 43Active Directory との連携 45
Active Directory 環境 45ドメイン コントローラの選択(domain_krb.properties ファイル) 47
VMware, Inc. 3
Active Directory で同期されるユーザー属性の管理 51ドメインに参加するために必要な権限 52サービスへの Active Directory 接続の構成 53Active Directory パスワードの変更をユーザーに許可する 58
LDAP ディレクトリとの連携 59LDAP ディレクトリ統合の制限 59LDAP ディレクトリとサービスの統合 60
フェイルオーバーと冗長性を構成してからディレクトリを追加 64
5 ローカル ディレクトリの使用 67
ローカル ディレクトリの作成 68グローバル レベルでのユーザー属性の設定 69ローカル ディレクトリの作成 70ローカル ディレクトリと ID プロバイダの関連付け 72
ローカル ディレクトリ設定の変更 73ローカル ディレクトリの削除 74
6 VMware Identity Manager アプライアンスの詳細構成 75
ロード バランサまたはリバース プロキシを使用して、 VMware Identity Manager への外部アクセ
スを有効にする 75ロード バランサへの VMware Identity Manager ルート証明書の適用 77VMware Identity Manager にロード バランサ ルート証明書を適用する 78VMware Identity Manager のためのプロキシ サーバの設定 78
単一のデータセンターにおけるフェイルオーバーと冗長性の構成 79VMware Identity Manager クラスタで推奨されるノードの数 80VMware Identity Manager の FQDN をロード バランサの FQDN に変更する 80仮想アプライアンスのクローンを作成する 81クローン作成された仮想アプライアンスへの新しい IP アドレスの割り当て 82障害発生時に別の インスタンスでディレクトリ同期を有効にする 84クラスタからのノードの削除 85
フェイルオーバーと冗長化のためのセカンダリ データセンターへの VMware Identity Manager の展開 87セカンダリ データセンターのセットアップ 89セカンダリ データセンターへのフェイルオーバー 94プライマリ データセンターへのフェイルバック 96セカンダリ データセンターからプライマリ データセンターへの昇格 96ダウンタイムを発生させずに VMware Identity Manager をアップグレードする 96
7 追加コネクタ アプライアンスのインストール 99
コネクタのアクティブ化コードを生成する 100Connector OVA ファイルを展開する 100Connector の設定 101
8 組み込み KDC の使用 103
アプライアンスのキー配布センターの初期化 104組み込みの Kerberos が使用する KDC 用パブリック DNS エントリの作成 105
Installing and Configuring VMware Identity Manager
4 VMware, Inc.
9 インストールおよび構成のトラブルシューティング 107ロード バランシングされた環境で、ユーザーがアプリケーションを起動できない、または不適切
な認証方法が適用されている 107ディレクトリの同期後にグループにメンバーが表示されない 108Elasticsearch のトラブルシューティング 108
Index 111
Contents
VMware, Inc. 5
Installing and Configuring VMware Identity Manager
6 VMware, Inc.
VMware Identity Manager のインストールと構成
『VMware Identity Manager のインストールと構成』では、VMware Identity Manager アプライアンスのイ
ンストールと構成のプロセスについて説明します。インストールが終了したら、管理コンソールを使用し
て、管理対象の複数のデバイスから組織のアプリケーション(Windows アプリケーション、SaaS (サービ
スとしてのソフトウェア)アプリケーション、および View または Horizon デスクトップなど)へのアクセ
ス権限をユーザーに付与できます。また、本ガイドでは、高可用性を実現する展開環境の構成方法について
も説明します。
対象者
この情報は VMware Identity Manager の管理者を対象としています。VMware テクノロジ、特に、vCenter™、ESX™、vSphere®
、View™、ネットワーキングの概念、Active Directory サーバ、データベース、バッ
クアップとリストアの手順、SMTP (Simple Mail Transfer Protocol)、および NTP サーバに精通している、
Windows および Linux のシステム管理者向けに記述されています。SUSE Linux 11 は、仮想アプライアン
スの基本オペレーティング システムです。VMware ThinApp® および RSA SecurID など、その他のテクノ
ロジの知識も、これらの機能の実装を計画している場合に役立ちます。
VMware, Inc. 7
Installing and Configuring VMware Identity Manager
8 VMware, Inc.
VMware Identity Manager のインストールの準備 1
VMware Identity Manager を展開およびセットアップするタスクでは、前提条件を満たし、
VMware Identity Manager OVA ファイルを展開して VMware Identity Manager セットアップ ウィザード
でのセットアップを完了する必要があります。
VMware, Inc. 9
図 1‑1. 一般的な展開の VMware Identity Manager アーキテクチャ図
ラップトップ
PC
ラップトップ
PC
HTTPS (443)
HTTPS(443)
DMZ
HTTPS (443)
企業のゾーン
VDI (HTML)
VDI (PCoIP/RDP)
VMware Identity Manager 仮想アプライアンス
VMware Identity Manager FQDN:myidentitymanager.mycompany.com
HTTPSPCoIP
View 接続サーバ
DNS/NTPサービス
RSASecurID
AD/ディレクトリサービス
外部データベース
ThinAppリポジトリ
Citrixサーバ
リバース プロキシ
企業 LAN ユーザー
TCP/UDP (88):iOS のみ
AirWatchREST API
TCP/UDP (88):iOS のみ
内部ロード バランサmyidentitymanager.mycompany.com
モバイル デバイス
インター ネット
注意 証明書またはスマート カードによる認証を有効にする場合は、ロード バランサで SSL 設定を終端さ
せるのではなく、パススルー設定を使用します。この構成により、VMware Identity Manager の 1 コン
ポーネントであるコネクタとクライアント間で SSL ハンドシェイクが確実に行われます。
注意 AirWatch Rest API は、AirWatch 環境の場所に応じてクラウドまたはオンプレミスに配置できます。
この章では次のトピックについて説明します。
n “System and Network Configuration Requirements,” on page 11
n VMware Identity Manager の展開の準備 (P. 14)
n カスタマー エクスペリエンス改善プログラム (P. 17)
Installing and Configuring VMware Identity Manager
10 VMware, Inc.
System and Network Configuration RequirementsConsider your entire deployment, including how you integrate resources, when you make decisions abouthardware, resources, and network requirements.
Supported vSphere and ESX VersionsThe following versions of vSphere and ESX server are supported:
n 5.0 U2 and later
n 5.1 and later
n 5.5 and later
n 6.0 and later
Note You must turn on time sync at the ESX host level using an NTP server. Otherwise, a time drift occursbetween the virtual appliances.
If you deploy multiple virtual appliances on different hosts, consider disabling the Sync to Host option fortime synchronization and configuring the NTP server in each virtual appliance directly to ensure that thereis no time drift between the virtual appliances.
Hardware RequirementsEnsure that you meet the requirements for the number of VMware Identity Manager virtual appliances andthe resources allocated to each appliance.
Number of Users Up to 1,000 1,000-10,000 10,000-25,000 25,000-50,000 50,000-100,000
Number ofVMware IdentityManager servers
1 server 3 load-balancedservers
3 load-balancedservers
3 load-balancedservers
3 load-balancedservers
CPU (per server) 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU
RAM (per server) 6 GB 6 GB 8 GB 16 GB 32 GB
Disk space (perserver)
60 GB 100 GB 100 GB 100 GB 100 GB
If you install additional, external connector virtual appliances, ensure that you meet the followingrequirements.
Number of Users Up to 1,000 1,000-10,000 10,000-25,000 25,000-50,000 50,000-100,1000
Number ofconnector servers
1 server 2 load-balancedservers
2 load-balancedservers
2 load-balancedservers
2 load-balancedservers
CPU (per server) 2 CPU 4 CPU 4 CPU 4 CPU 4 CPU
RAM (per server) 6 GB 6 GB 8 GB 16 GB 16 GB
Disk space (perserver)
60 GB 60 GB 60 GB 60 GB 60 GB
Database RequirementsSet up VMware Identity Manager with an external database to store and organize server data. An internalPostgreSQL database is embedded in the virtual appliance but it is not recommended for use withproduction deployments.
第 1 章 VMware Identity Manager のインストールの準備
VMware, Inc. 11
For information about the database versions and service pack configurations supported, see the VMwareProduct Interoperability Matrices at https://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
The following requirements apply to an external SQL Server database.
Number of Users Up to 1,000 1,000-10,000 10,000-25,000 25,000-50,000 50,000-100,000
CPU 2 CPU 2 CPU 4 CPU 8 CPU 8 CPU
RAM 4 GB 4 GB 8 GB 16 GB 32 GB
Disk space 50 GB 50 GB 50 GB 100 GB 100 GB
Network Configuration Requirements
Component Minimum Requirement
DNS record and IP address IP address and DNS record
Firewall port Ensure that the inbound firewall port 443 is open for users outside the network tothe VMware Identity Manager instance or the load balancer.
Reverse Proxy Deploy a reverse proxy such as F5 Access Policy Manager in the DMZ to allowusers to securely access the VMware Identity Manager user portal remotely.
Port RequirementsPorts used in the server configuration are described here. Your deployment might include only a subset ofthese ports. For example:
n To sync users and groups from Active Directory, VMware Identity Manager must connect to ActiveDirectory.
n To sync with ThinApp, the VMware Identity Manager must join the Active Directory domain andconnect to the ThinApp Repository share.
Port Portal Source Target Description
443 HTTPS Load Balancer VMware Identity Manager virtualappliance
443 HTTPS VMware Identity Managervirtual appliance
VMware Identity Manager virtualappliance
443 HTTPS Browsers VMware Identity Manager virtualappliance
443 HTTPS VMware Identity Managervirtual appliance
vapp-updates.vmware.com Access to theupgrade server
8443 HTTPS Browsers VMware Identity Manager virtualappliance
Administrator Port
25 SMTP VMware Identity Managervirtual appliance
SMTP Port to relayoutbound mail
38963632683269
LDAPLDAPSMSFT-GCMSFT-GC-SSL
VMware Identity Managervirtual appliance
Active Directory Default values areshown. These portsare configurable.
445 TCP VMware Identity Managervirtual appliance
VMware ThinApp repository Access to theThinApp repository
Installing and Configuring VMware Identity Manager
12 VMware, Inc.
Port Portal Source Target Description
5500 UDP VMware Identity Managervirtual appliance
RSA SecurID system Default value isshown. This port isconfigurable.
53 TCP/UDP VMware Identity Managervirtual appliance
DNS server Every virtualappliance must haveaccess to the DNSserver on port 53and allow incomingSSH traffic on port22.
88, 464, 135 TCP/UDP VMware Identity Managervirtual appliance
Domain controller
9300–9400 TCP VMware Identity Managervirtual appliance
VMware Identity Manager virtualappliance
Audit needs
54328 UDP
1433, 5432,1521
TCP VMware Identity Managervirtual appliance
Database Microsoft SQLdefault port is 1433The Oracle defaultport is 1521
443 VMware Identity Managervirtual appliance
View server Access to Viewserver
80, 443 TCP VMware Identity Managervirtual appliance
Citrix Integration Broker server Connection to theCitrix IntegrationBroker. Port optiondepends on whethera certificate isinstalled on theIntegration Brokerserver
443 HTTPS VMware Identity Managervirtual appliance
AirWatch REST API For devicecompliance checkingand for the AirWatchCloud Connectorpasswordauthenticationmethod, if that isused.
88 UDP Unified Access Gateway VMware Identity Manager virtualappliance
UDP port to openfor mobile SSO
5262 TCP Android mobile device AirWatch HTTPS proxy service AirWatch Tunnelclient routes trafficto the HTTPS proxyfor Android devices.
88 UDP iOS mobile device VMware Identity Manager virtualappliance
Port used forKerberos traffic fromiOS devices to thehosted cloud KDCservice.
443 HTTPS/TCP
Active DirectoryVMware Identity Manager supports Active Directory on Windows 2008, 2008 R2, 2012, and 2012 R2, with aDomain functional level and Forest functional level of Windows 2003 and later.
第 1 章 VMware Identity Manager のインストールの準備
VMware, Inc. 13
管理コンソールのアクセスに使用できるサポートされる Web ブラウザ
VMware Identity Manager 管理コンソールは、テナントの管理に使用する Web ベースのアプリケーション
です。管理コンソールには次のブラウザからアクセスできます。
n Windows システム用 Internet Explorer 11
n Windows および Mac システム用 Google Chrome 42.0 以降
n Windows および Mac システム用 Mozilla Firefox 40 以降
n Mac システム用 Safari 6.2.8 以降
Note Internet Explorer 11 で VMware Identity Manager を通じた認証を行うには、JavaScript を有効にし
て Cookie を許可する必要があります。
Workspace ONE ポータルへのアクセスに使用されるサポート対象のブラウザ
エンド ユーザーは、次のブラウザから自分の Workspace ONE ポータルにアクセスすることができます。
n Mozilla Firefox ( 新版)
n Google Chrome ( 新版)
n Safari ( 新版)
n Internet Explorer 11
n Microsoft Edge ブラウザ
n ネイティブ ブラウザおよび Google Chrome(Android デバイス)
n Safari(iOS デバイス)
Note Internet Explorer 11 で VMware Identity Manager を通じた認証を行うには、JavaScript を有効にし
て Cookie を許可する必要があります。
VMware Identity Manager の展開の準備
VMware Identity Manager を展開する前に、環境を準備する必要があります。この準備には、
VMware Identity Manager OVA ファイルのダウンロード、DNS レコードの作成および IP アドレスの取得
が含まれます。
開始する前に
VMware Identity Manager のインストールを開始するには、まず前提条件のタスクを完了します。
n VMware Identity Manager 仮想アプライアンスを展開する 1 台以上の ESX サーバが必要です。
注意 サポートされている vSphere および ESX サーバのバージョンの詳細については、「VMware 製品の相互運用性マトリックス」
(http://www.vmware.com/resources/compatibility/sim/interop_matrix.php)を参照してください。
n VMware vSphere Client または vSphere Web Client で OVA ファイルを展開し、展開した仮想アプライ
アンスにリモートでアクセスしてネットワークを構成する必要があります。
n VMware Identity Manager OVA ファイルを VMware Web サイトからダウンロードします。
Installing and Configuring VMware Identity Manager
14 VMware, Inc.
DNS レコードと IP アドレスの作成
VMware Identity Manager 仮想アプライアンス用の DNS エントリおよび固定 IP アドレスが利用できる必
要があります。会社ごとに管理する IP アドレスや DNS レコードが異なるため、インストールを開始する
前に、使用する DNS レコードおよび IP アドレスを確認します。
オプションで逆引きの構成が可能です。逆引きを実装する場合には、DNS サーバに PTR レコードを定義し
て、仮想アプライアンスが正しいネットワーク構成を使用するようにする必要があります。
ネットワーク管理者に相談する際に、下記の DNS レコードのサンプル リストを使用できます。サンプル
リストの情報を、それぞれの環境に合わせて書き換えてください。次のサンプルには、DNS の正引きレ
コードと IP アドレスが記載されています。
表 1‑1. DNS の正引きレコードと IP アドレスの例
ドメイン名 リソース タイプ IP アドレス
myidentitymanager.company.com A 10.28.128.3
次のサンプルには、DNS の逆引きレコードと IP アドレスが記載されています。
表 1‑2. DNS の逆引きレコードと IP アドレスの例
IP アドレス リソース タイプ ホスト名
10.28.128.3 PTR myidentitymanager.company.com
DNS 構成の終了後に、DNS の逆引きが正しく構成されていることを確認します。たとえば、仮想アプライ
アンスのコマンド host IPaddress は DNS 名を解決する必要があります。
Unix/Linux ベースの DNS サーバの使用
Unix/Linux ベースの DNS サーバを使用していて、 VMware Identity Manager を Active Directory ドメイ
ンに参加させる予定がある場合は、Active Directory ドメイン コントローラごとに正しいサービス (SRV) リソース レコードが作成されていることを確認します。
注意 仮想 IP アドレス (VIP) が DNS サーバの前にあるロード バランサを使用している場合、
VMware Identity Manager は、VIP の使用をサポートしません。複数の DNS サーバをカンマ区切りで指定
できます。
Database Options with VMware Identity ManagerSet up VMware Identity Manager with an external database to store and organize server data. An internalPostgreSQL database is embedded in the appliance but it is not recommended for use with productiondeployments.
To use an external database, your database administrator must prepare an empty external database andschema before connecting to the external database in the Setup wizard. Licensed users can use a MicrosoftSQL database server or Oracle database server to set up a high availability external database environment.See “Connecting to the Database,” on page 32.
第 1 章 VMware Identity Manager のインストールの準備
VMware, Inc. 15
エンタープライズ ディレクトリへの接続
VMware Identity Manager は、ユーザーの認証や管理にエンタープライズのディレクトリ インフラストラ
クチャを使用します。VMware Identity Manager は、単一の Active Directory ドメイン、単一の ActiveDirectory フォレスト内の複数のドメイン、または複数の Active Directory フォレストにわたる複数のドメ
インを持つ Active Directory 環境と統合できます。また、VMware Identity Manager と LDAP ディレクト
リを連携することもできます。ユーザーとグループを同期するには、VMware Identity Manager 仮想アプ
ライアンスをディレクトリに接続する必要があります。
ディレクトリは、VMware Identity Manager 仮想アプライアンスと同一の LAN ネットワークでアクセスで
きる必要があります。
詳細については、第 4 章エンタープライズ ディレクトリとの統合 (P. 43)を参照してください。
展開チェックリスト
展開チェックリストを使用して、VMware Identity Manager コネクタ仮想アプライアンスの展開に必要な
情報を収集できます。
完全修飾ドメイン名の情報
表 1‑3. 完全修飾ドメイン名 (FQDN) 情報チェックリスト
収集する情報 情報を記入
VMware Identity Manager FQDN
VMware Identity Manager 仮想アプライアンスのネットワーク情報
表 1‑4. ネットワーク情報チェックリスト
収集する情報 情報を記入
IP アドレス DNS サーバに PTR および A レコードが定義されている、
固定 IP アドレスを使用する必要があります。
この仮想アプライアンスの DNS 名
デフォルト ゲートウェイ アドレス
ネットマスクまたはプリフィックス
ディレクトリ情報
VMware Identity Manager は Active Directory または LDAP ディレクトリ環境との統合をサポートしま
す。
表 1‑5. Active Directory ドメイン コントローラ情報チェックリスト
収集する情報 情報を記入
Active Directory サーバ名
Active Directory ドメイン名
ベース DN
LDAP 経由の Active Directory の場合、バインド DN ユー
ザー名とパスワード
Active Directory(統合 Windows 認証)の場合、コン
ピュータをドメインに参加させる権限を持つアカウントの
ユーザー名とパスワード。
Installing and Configuring VMware Identity Manager
16 VMware, Inc.
表 1‑6. LDAP ディレクトリ サーバ情報チェックリスト
収集する情報 情報を記入
LDAP ディレクトリ サーバ名または IP アドレス
LDAP ディレクトリ サーバのポート番号
ベース DN
バインド DN ユーザー名とパスワード
グループ オブジェクト、バインド ユーザー オブジェク
ト、およびユーザー オブジェクトの LDAP 検索フィルタ
メンバーシップ、オブジェクト UUID および識別名のため
の LDAP 属性名
SSL 証明書
VMware Identity Manager コネクタ仮想アプライアンスを展開した後に、SSL 証明書を追加できます。
表 1‑7. SSL 証明書情報チェックリスト
収集する情報 情報を記入
SSL 証明書
秘密キー
ライセンス キー
表 1‑8. VMware Identity Manager ライセンス キー情報チェックリスト
収集する情報 情報を記入
ライセンス キー
注意 展開が完了したら、管理コンソールの アプライアンス設定 > ライセンス ページに、ライセンス キー
情報を入力します。
外部データベース
表 1‑9. 外部データベース情報チェックリスト
収集する情報 情報を記入
データベース ホスト名
ポート
ユーザー名
パスワード
カスタマー エクスペリエンス改善プログラム
VMware Identity Manager 仮想アプライアンスをインストールすると、VMware カスタマ エクスペリエン
ス改善プログラムに参加できます。
プログラムに参加すると、VMware はお客様のご要望への対応を向上させるために、お客様の展開環境に
関する匿名データを収集します。お客様の組織を特定するデータは収集されません。
第 1 章 VMware Identity Manager のインストールの準備
VMware, Inc. 17
VMware はデータを収集する前に、お客様の組織に特有の情報を含むすべてのフィールドを匿名にしま
す。
注意 この情報を送信するために HTTP プロキシを介してインターネットに接続するようにネットワークが
構成されている場合、VMware Identity Manager 仮想アプライアンスでプロキシ設定を調整する必要があ
ります。VMware Identity Manager のためのプロキシ サーバの設定 (P. 30)を参照してください。
Installing and Configuring VMware Identity Manager
18 VMware, Inc.
VMware Identity Manager の展開 2VMware Identity Manager を展開するには、vSphere Client または vSphere Web Client を使用して OVF テンプレートを展開し、VMware Identity Manager 仮想アプライアンスをパワーオンして設定を構成しま
す。
VMware Identity Manager 仮想アプライアンスを展開したら、セットアップ ウィザードを使用して
VMware Identity Manager 環境をセットアップします。
展開チェックリストの情報を使用して、インストールを完了します。展開チェックリスト (P. 16)を参照して
ください。
この章では次のトピックについて説明します。
n VMware Identity Manager OVA ファイルの展開 (P. 19)
n (オプション)IP プールの追加 (P. 21)
n VMware Identity Manager の設定 (P. 22)
n VMware Identity Manager のためのプロキシ サーバの設定 (P. 30)
n ライセンス キーの入力 (P. 30)
VMware Identity Manager OVA ファイルの展開
vSphere Client または vSphere Web Client を使用して VMware Identity Manager OVA ファイルを展開しま
す。vSphere Client にアクセス可能なローカルな場所から OVA ファイルをダウンロードおよび展開した
り、Web URL から展開することができます。
注意 vSphere Web Client を使用している場合は、Firefox か Chrome のいずれかのブラウザを使用して
OVA ファイルを展開します。Internet Explorer は使用しないでください。
開始する前に
第 1 章 VMware Identity Manager のインストールの準備 (P. 9) を確認します。
手順
1 VMware Identity Manager OVA ファイルを My VMware からダウンロードします。
2 vSphere Client または vSphere Web Client にログインします。
3 ファイル > OVF テンプレートを展開 を選択します。
VMware, Inc. 19
4 [OVF テンプレートを展開] ウィザードで、次の情報を指定します。
ページ 説明
vCenter Server の IP アドレス OVA パッケージの場所を参照するか、または特定の URL を入力します。
OVF テンプレートの詳細 バージョンやサイズ要件などの製品情報を確認します。
エンド ユーザー使用許諾契約書 エンド ユーザー使用許諾契約を読み、同意する をクリックします。
名前と場所 VMware Identity Manager 仮想アプライアンスの名前を入力します。名前
はインベントリ フォルダ内で一意である必要があり、 大で 80 文字指定
できます。名前の大文字と小文字は区別されます。
仮想アプライアンスの場所を選択します。
ホスト/クラスタ 仮想アプライアンスを実行するホストまたはクラスタを選択します。
リソース プール リソース プールを選択します。
ストレージ 仮想アプライアンス ファイルのストレージを選択します。仮想マシン ストレージ プロファイルも選択できます。
ディスク形式 ファイルのディスク形式を選択します。本番環境の場合は、シック プロビ
ジョニング形式のいずれかを選択します。評価やテストにはシン プロビ
ジョニング形式を使用します。
シック プロビジョニング形式では、仮想ディスクに必要なすべての容量が
展開中に割り当てられます。シン プロビジョニング形式では、その初期操
作に必要とされるストレージ容量のみがディスクで使用されます。
ネットワークのマッピング VMware Identity Manager で使用されているネットワークをインベントリ
のネットワークにマップします。
プロパティ a タイムゾーンの設定 フィールドで、正しいタイム ゾーンを選択しま
す。
b デフォルトでは、カスタマ エクスペリエンス改善プログラム チェッ
ク ボックスはオンになっています。VMware はお客様のご要望への対
応を向上させるために、お客様の展開環境に関する匿名データを収集
します。データを収集されたくない場合は、チェック ボックスをオフ
にします。
c ホスト名 (FQDN) テキスト ボックスに、使用するホスト名を入力し
ます。空白にすると、逆引き DNS を使用してホスト名が参照されま
す。
d ネットワークのプロパティを構成します。
n VMware Identity Manager に固定 IP アドレスを構成するには、デ
フォルト ゲートウェイ、DNS、IP アドレス、および ネットマス
ク の各フィールドにアドレスを入力します。
注意 仮想 IP アドレス (VIP) が DNS サーバの前にあるロード バランサを使用している場合、VMware Identity Manager は、VIPの使用をサポートしません。複数の DNS サーバをカンマ区切りで
指定できます。
重要 ホスト名 を含む 4 つのアドレス フィールドのいずれかが空
白の場合は、DHCP が使用されます。
n DHCP を構成する場合は、アドレス フィールドを空白のままにし
ておきます。
注意 ドメイン名 フィールドと ドメイン検索パス フィールドは使用され
ません。これらは空白のままにしておくことができます。
(オプション) VMware Identity Manager の展開後に、IP アドレス プー
ルを構成できます。(オプション)IP プールの追加 (P. 21)を参照してく
ださい。
設定の確認 選択内容を確認し、終了 をクリックします。
ネットワークの速度によっては、展開に数分かかることがあります。表示される進捗ダイアログ ボッ
クスで進捗状況を確認できます。
5 展開が完了したら、進捗のダイアログ ボックスで 閉じる をクリックします。
Installing and Configuring VMware Identity Manager
20 VMware, Inc.
6 展開した VMware Identity Manager 仮想アプライアンスを選択して右クリックし、パワー > パワーオ
ン を選択します。
VMware Identity Manager 仮想アプライアンスは初期化されます。コンソール タブで詳細を確認でき
ます。仮想アプライアンスの初期化が完了すると、コンソール画面に VMware Identity Manager のバージョン、IP アドレス、VMware Identity Manager Web インターフェイスにログインしてセット
アップを完了するための URL が表示されます。
次に進む前に
n (オプション)IP アドレス プールを追加します。
n Active Directory または LDAP ディレクトリへの接続や VMware Identity Manager と同期するユー
ザーおよびグループの選択などの VMware Identity Manager の設定を構成します。
(オプション)IP プールの追加
IP プールを使用するネットワーク構成は、VMware Identity Manager ではオプションです。
VMware Identity Manager 仮想アプライアンスがインストールされた後、それに手動で IP プールを追加で
きます。
IP プールは DHCP サーバのような役割を果たし、プールから VMware Identity Manager 仮想アプライアン
スに IP アドレスを割り当てます。IP プールを使用するには、仮想アプライアンス ネットワークのプロパ
ティを編集してプロパティを動的プロパティに変更し、ネットマスク、ゲートウェイ、および DNS 設定を
構成します。
開始する前に
仮想アプライアンスをパワーオフする必要があります。
手順
1 vSphere Client または vSphere Web Client では、VMware Identity Manager 仮想アプライアンスを右
クリックして、設定の編集 を選択します。
2 オプション タブを選択します。
3 vApp オプション で、詳細 をクリックします。
4 右側にある [プロパティ] セクションで、プロパティ ボタンをクリックします。
5 [詳細プロパティ構成] ダイアログ ボックスで、次のキーを構成します。
n vami.DNS.WorkspacePortal
n vami.netmask0.WorkspacePortal
n vami.gateway.WorkspacePortal
a いずれかのキーを選択して、編集 をクリックします。
b [プロパティ設定の編集] ダイアログ ボックスで、タイプ フィールドの横の 編集 をクリックしま
す。
c [プロパティ タイプの編集] ダイアログ ボックスで 動的プロパティ を選択し、ネットマスク、ゲー
トウェイ アドレス、および DNS サーバ それぞれのドロップダウン メニューから適切な値を選択
します。
d OK をクリックし、もう一度 OK をクリックします。
e キーごとにこれらの手順を繰り返します。
6 仮想アプライアンスをパワーオンします。
プロパティは、IP プールを使用するよう構成されました。
第 2 章 VMware Identity Manager の展開
VMware, Inc. 21
次に進む前に
VMware Identity Manager 設定の構成
VMware Identity Manager の設定
VMware Identity Manager OVA が展開されたら、セットアップ ウィザードを使用してパスワードを設定
し、データベースを選択します。次に、Active Directory または LDAP ディレクトリへの接続をセットアッ
プします。
開始する前に
n VMware Identity Manager 仮想アプライアンスはパワーオンされています。
n 外部データベースを使用する場合は、外部データベースが構成されており、外部データベースの接続情
報を入手しています。詳細については、Connecting to the Database (P. 32)を参照してください。
n 要件と制限については、第 4 章エンタープライズ ディレクトリとの統合 (P. 43)、Active Directory との連携 (P. 45)、および LDAP ディレクトリとサービスの統合 (P. 60)を参照してください。
n Active Directory または LDAP ディレクトリの情報を入手しています。
n マルチフォレスト Active Directory が構成され、ドメイン ローカル グループに異なるフォレストのド
メインのメンバが含まれる場合、VMware Identity Manager ディレクトリ ページで使用されるバイン
ド DN ユーザーをドメイン ローカル グループが存在するドメインの管理者グループに追加する必要が
あります。これを行わなければ、これらのメンバはドメイン ローカル グループに含まれなくなりま
す。
n フィルタとして使用するユーザー属性のリスト、および VMware Identity Manager に追加するグルー
プのリストを入手しています。
手順
1 コンソール タブの青の画面に表示される VMware Identity Manager URL にアクセスします。たとえ
ば、https://hostname.example.com のように表示されます。
2 証明書への同意を求めるメッセージが表示されたら、同意します。
3 [開始する] ページで 続行 をクリックします。
4 [パスワードを設定] ページで、次の管理者アカウントのパスワードを設定します。これらはアプライア
ンスの管理に使用されます。設定したら 続行 をクリックします。
アカウント
アプライアンス管理者 管理者 ユーザーのパスワードを設定します。このユーザー名は変更
できません。admin ユーザー アカウントは、アプライアンス設定の
管理に使用されます。
重要 admin ユーザーは、6 文字以上のパスワードを使用する必要が
あります。
アプライアンスの root ユーザー root ユーザー パスワードを設定します。root ユーザーは、アプライ
アンスのすべての権限を持ちます。
リモート ユーザー sshuser のパスワードを設定します。これは、SSH 接続を使用してリ
モートからアプライアンスにログインするために使用されます。
Installing and Configuring VMware Identity Manager
22 VMware, Inc.
5 [データベースを選択] ページで、使用するデータベースを選択します。
詳細については、Connecting to the Database (P. 32)を参照してください。
n 外部データベースを使用する場合は、外部データベース を選択し、外部データベースの接続情
報、ユーザー名、およびパスワードを入力します。VMware Identity Manager がデータベースに
接続できることを確認するには、接続をテスト をクリックします。
接続を確認したら、続行 をクリックします。
n 内部データベースを使用している場合は、続行 をクリックします。
注意 本番環境では、内部データベースを使用することをお勧めしません。
データベースへの接続を構成し、データベースを初期化します。このプロセスが完了すると、セット
アップが完了しました ページが表示されます。
6 セットアップが完了しました ページで 管理コンソールにログインします リンクをクリックし、管理コ
ンソールにログインして Active Directory または LDAP ディレクトリ接続をセットアップします。
7 設定したパスワードを使用して、管理者 ユーザーとして管理コンソールにログインします。
ローカル管理者としてログインされます。[ディレクトリ] ページが表示されます。ディレクトリを追加
する前に、要件と制限について 第 4 章エンタープライズ ディレクトリとの統合 (P. 43)、ActiveDirectory との連携 (P. 45)、および LDAP ディレクトリとサービスの統合 (P. 60)を参照してくださ
い。
8 ID とアクセス管理 タブをクリックします。
9 セットアップ > ユーザー属性 をクリックして、ディレクトリと同期するユーザー属性を選択します。
デフォルト属性が表示され、必須の属性を選択できます。属性に必須のマークが付いている場合は、そ
の属性を持つユーザーのみがサービスに同期されます。別の属性を追加することもできます。
重要 ディレクトリの作成後は、必須属性にする属性を変更できません。その選択は、この時点で行う
必要があります。
また、[ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されることに注意してく
ださい。属性に必須のマークを付ける場合は、他のディレクトリへの影響を考慮してください。属性に
必須のマークが付いている場合は、その属性を持たないユーザーはサービスに同期されません。
重要 XenApp リソースと VMware Identity Manager の同期を計画している場合は、
distinguishedName を必須属性にする必要があります。
10 保存 をクリックします。
11 ID とアクセス管理 タブをクリックします。
12 [ディレクトリ] ページで、ディレクトリを追加 をクリックし、統合するディレクトリのタイプに基づ
いて LDAP/IWA 経由の Active Directory を追加 または LDAP ディレクトリを追加 を選択します。
また、サービスでローカル ディレクトリを作成することもできます。ローカル ディレクトリの詳細に
ついては、第 5 章ローカル ディレクトリの使用 (P. 67)を参照してください。
第 2 章 VMware Identity Manager の展開
VMware, Inc. 23
13 Active Directory の場合は、次の手順を実行します。
a VMware Identity Manager で作成するディレクトリの名前を入力し、ディレクトリのタイプ
(LDAP 経由の Active Directory または Active Directory(統合 Windows 認証) のいずれか)を
選択します。
b 接続情報を入力します。
オプション 説明
LDAP 経由の Active Directory 1 コネクタを同期 フィールドで、Active Directory から
VMware Identity Manager ディレクトリにユーザーとグループを
同期するための コネクタ を選択します。
コネクタ コンポーネントは、デフォルトでは
VMware Identity Manager サービスで常に利用できます。このコ
ネクタは、ドロップダウン リストに表示されます。高可用性を実
現するために複数の VMware Identity Manager アプライアンスを
展開すると、それぞれのコネクタ コンポーネントがリストに表示
されます。
2 この Active Directory を使用してユーザー認証を行う場合は、認証
フィールドで はい をクリックします。
サードパーティの ID プロバイダを使用してユーザーを認証する場
合は、いいえ をクリックします。ユーザーとグループを同期する
ように Active Directory 接続を構成したら、ID とアクセス管理 >管理 > ID プロバイダ ページの順に移動して、認証に使用するサー
ドパーティ ID プロバイダを追加します。
3 ディレクトリ検索属性 フィールドで、ユーザー名を含むアカウン
ト属性を選択します。
4 Active Directory が DNS サービス ロケーション ルックアップを使
用する場合は、次のように選択します。
n サービス ロケーション セクションで、このディレクトリ はDNS サービス ロケーションをサポートします チェックボック
スを選択します。
ディレクトリの作成時に、ドメイン コントローラのリストが
自動入力される domain_krb.properties ファイルが作成さ
れます。ドメイン コントローラの選択
(domain_krb.properties ファイル) (P. 47)を参照してくださ
い。
n Active Directory が STARTTLS 暗号化を必要とする場合は、証
明書 セクションの このディレクトリには SSL を使用するすべ
ての接続が必要です チェック ボックスを選択し、ActiveDirectory のルート CA 証明書をコピーして SSL 証明書 フィー
ルドにペーストします。
証明書が PEM 形式であり、「BEGIN CERTIFICATE」と
「END CERTIFICATE」の行を含んでいることを確認します。
注意 Active Directory が STARTTLS を必要とする場合、証明
書がなければディレクトリを作成できません。
5 Active Directory が DNS サービス ロケーション ルックアップを使
用しない場合は、次のように選択します。
n サービス ロケーション セクションで、このディレクトリ はDNS サービス ロケーションをサポートします チェックボック
スが選択されていないことを確認して、Active Directory サー
バのホスト名とポート番号を入力します。
グローバル カタログとしてディレクトリを構成するには、
Active Directory 環境 (P. 45)の「マルチ ドメイン、シングル
フォレストの Active Directory 環境」セクションを参照してく
ださい。
Installing and Configuring VMware Identity Manager
24 VMware, Inc.
オプション 説明
n Active Directory が SSL 経由のアクセスを必要とする場合は、
証明書 セクションの このディレクトリには SSL を使用するす
べての接続が必要です チェック ボックスを選択し、ActiveDirectory のルート CA 証明書をコピーして SSL 証明書 フィー
ルドにペーストします。
証明書が PEM 形式であり、「BEGIN CERTIFICATE」と
「END CERTIFICATE」の行を含んでいることを確認します。
注意 Active Directory が SSL を必要とする場合、証明書がな
ければディレクトリを作成できません。
6 パスワードの変更を許可 セクションで、パスワードの有効期限が
切れたとき、または Active Directory 管理者がユーザーのパスワー
ドをリセットしたときにユーザーが VMware Identity Manager ログイン ページからパスワードをリセットできるようにするには、
パスワードの変更を有効にする を選択します。
7 ベース DN フィールドに、アカウント検索を開始する DN を入力
します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入
力します。
8 バインド DN フィールドに、ユーザーを検索できるアカウントを
入力します。たとえば、
CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力しま
す。
注意 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
9 バインド パスワードを入力したら、接続をテスト をクリックし
て、ディレクトリが Active Directory に接続できることを確認しま
す。
Active Directory(統合 Windows認証)
1 コネクタを同期 フィールドで、Active Directory から
VMware Identity Manager ディレクトリにユーザーとグループを
同期するための コネクタ を選択します。
コネクタ コンポーネントは、デフォルトでは
VMware Identity Manager サービスで常に利用できます。このコ
ネクタは、ドロップダウン リストに表示されます。高可用性を実
現するために複数の VMware Identity Manager アプライアンスを
展開すると、それぞれのコネクタ コンポーネントがリストに表示
されます。
2 この Active Directory を使用してユーザー認証を行う場合は、認証
フィールドで はい をクリックします。
サードパーティの ID プロバイダを使用してユーザーを認証する場
合は、いいえ をクリックします。ユーザーとグループを同期する
ように Active Directory 接続を構成したら、ID とアクセス管理 >管理 > ID プロバイダ ページの順に移動して、認証に使用するサー
ドパーティ ID プロバイダを追加します。
3 ディレクトリ検索属性 フィールドで、ユーザー名を含むアカウン
ト属性を選択します。
4 Active Directory が STARTTLS 暗号化を必要とする場合は、証明
書 セクションの このディレクトリには STARTTLS を使用するす
べての接続が必要 チェック ボックスを選択し、Active Directoryのルート CA 証明書をコピーして SSL 証明書 フィールドにペース
トします。
証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「ENDCERTIFICATE」の行を含んでいることを確認します。
ディレクトリに複数のドメインが含まれる場合は、ルート CA 証明書をすべてのドメインに 1 つずつ追加していきます。
注意 Active Directory が STARTTLS を必要とする場合、証明書が
なければディレクトリを作成できません。
5 参加する Active Directory ドメインの名前を入力します。ドメイン
への参加権限を持つユーザーの名前とパスワードを入力します。
詳細については、ドメインに参加するために必要な権限 (P. 52)を参照してください。
第 2 章 VMware Identity Manager の展開
VMware, Inc. 25
オプション 説明
6 パスワードの変更を許可 セクションで、パスワードの有効期限が
切れたとき、または Active Directory 管理者がユーザーのパスワー
ドをリセットしたときにユーザーが VMware Identity Manager ログイン ページからパスワードをリセットできるようにするには、
パスワードの変更を有効にする を選択します。
7 バインド ユーザー UPN フィールドで、ドメインで認証できる
ユーザーの [ユーザー プリンシパル名] を入力します。たとえば、
[email protected] のように入力します。
注意 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨します。
8 バインド DN ユーザーのパスワードを入力します。
c 保存して次へ をクリックします。
ドメイン リストのページが表示されます。
Installing and Configuring VMware Identity Manager
26 VMware, Inc.
14 LDAP ディレクトリの場合は、次の手順を実行します。
a 接続情報を入力します。
オプション 説明
ディレクトリ名 VMware Identity Manager に作成しているディレクトリの名前。
ディレクトリの同期と認証 1 コネクタを同期 フィールドで、LDAP ディレクトリから
VMware Identity Manager ディレクトリにユーザーとグループを
同期するためのコネクタを選択します。
コネクタ コンポーネントは、デフォルトでは
VMware Identity Manager サービスで常に利用できます。このコ
ネクタは、ドロップダウン リストに表示されます。高可用性を実
現するために複数の VMware Identity Manager アプライアンスを
展開すると、それぞれのコネクタ コンポーネントがリストに表示
されます。
LDAP ディレクトリ用の個別のコネクタは必要ありません。コネ
クタは、Active Directory であるか LDAP ディレクトリであるかに
かかわらず複数のディレクトリをサポートすることができます。
2 この LDAP ディレクトリを使用してユーザー認証を行う場合は、
認証 フィールドで はい をクリックします。
サードパーティの ID プロバイダを使用してユーザーを認証する場
合は、いいえ を選択します。ユーザーとグループを同期するよう
にディレクトリ接続を追加したら、ID とアクセス管理 > 管理 > IDプロバイダ ページの順に移動して、認証に使用するサードパー
ティの ID プロバイダを追加します。
3 ディレクトリ検索属性 フィールドで、ユーザー名に使用する
LDAP ディレクトリ属性を指定します。属性が表示されない場合
は、カスタム を選択して、属性名を入力します。たとえば、cn にように入力します。
サーバの場所 LDAP ディレクトリ サーバのホスト名とポート番号を入力します。
サーバ ホストには、完全修飾ドメイン名または IP アドレスのいずれか
を指定することができます。たとえば、myLDAPserver.example.comまたは 100.00.00.0 のように入力します。
ロード バランサの背後にサーバのクラスタがある場合は、代わりに
ロード バランサの情報を入力します。
LDAP 構成 VMware Identity Manager が LDAP ディレクトリのクエリに使用する
ことができる LDAP 検索フィルタおよび属性を指定します。デフォル
ト値はコア LDAP スキーマに基づいて提供されます。
LDAP クエリ
n グループの取得:グループ オブジェクトを取得するための検索
フィルタ。
例:(objectClass=group)
n バインド ユーザーの取得:バインド ユーザー オブジェクト、つま
りディレクトリにバインドすることができるユーザーを取得する
ための検索フィルタ。
例:(objectClass=person)
n ユーザーの取得:同期するユーザーを取得するための検索フィル
タ。
例:(&(objectClass=user)(objectCategory=person))
属性
n メンバーシップ:グループのメンバーを定義するために LDAPディレクトリで使用される属性。
例:member
n オブジェクト UUID:ユーザーまたはグループの UUID を定義す
るために LDAP ディレクトリで使用される属性。
例:entryUUID
第 2 章 VMware Identity Manager の展開
VMware, Inc. 27
オプション 説明
n 識別名:LDAP ディレクトリでユーザーまたはグループの識別名
に使用される属性。
例:entryDN
証明書 LDAP ディレクトリが SSL 経由のアクセスを必要とする場合は、この
ディレクトリには SSL を使用するすべての接続が必要です を選択し、
LDAP ディレクトリ サーバのルート CA SSL 証明書をコピーして貼り
付けます。証明書が PEM 形式であり、「BEGIN CERTIFICATE」と
「END CERTIFICATE」の行を含んでいることを確認します。
バインド ユーザーの詳細 ベース DN:検索を開始する DN を入力します。たとえば、
cn=users,dc=example,dc=com のように入力します。
バインド DN:LDAP ディレクトリにバインドするために使用する
ユーザー名を入力します。
注意 有効期限のないパスワードを持つバインド DN ユーザー アカウ
ントを使用することを推奨します。
バインド DN パスワード:バインド DN ユーザーのパスワードを入力
します。
b LDAP ディレクトリ サーバへの接続をテストするには、接続をテスト をクリックします。
接続に成功しない場合は、入力した情報を確認して、適切な変更を行います。
c 保存して次へ をクリックします。
ドメインをリストしたページが表示されます。
15 LDAP ディレクトリの場合、ドメインはリストされるが変更することはできません。
LDAP 経由の Active Directory の場合、ドメインはリストされるが変更することはできません。
[Active Directory(統合 Windows 認証)] で、この Active Directory 接続に関連付ける必要があるドメ
インを選択します。
注意 ディレクトリが作成された後に信頼するドメインを追加する場合、サービスは新規に追加された
ドメインを自動的に検出しません。サービスによるドメインの検出を有効にするには、コネクタをドメ
インから切り離してから、ドメインに再度参加させる必要があります。コネクタがドメインに再度参加
すると、信頼するドメインがリストに表示されます。
次へ をクリックします。
16 VMware Identity Manager 属性名が適切な Active Directory または LDAP 属性にマッピングされてい
ることを確認し、必要に応じて変更します。
重要 LDAP ディレクトリを統合している場合は、domain 属性のマッピングを指定する必要がありま
す。
17 次へ をクリックします。
Installing and Configuring VMware Identity Manager
28 VMware, Inc.
18 Active Directory または LDAP ディレクトリから VMware Identity Manager ディレクトリに同期する
グループを選択します。
オプション 説明
グループ DN を指定 グループを選択するには、1 つ以上のグループ DN を指定して、配下にあ
るグループを選択します。
a + をクリックし、グループ DN を指定します。たとえば、
CN=users,DC=example,DC=company,DC=com のように入力します。
重要 入力したベース DN の配下にあるグループ DN を指定します。
グループ DN がベース DN に含まれない場合、その DN のユーザー
は、同期はされますがログインすることはできません。
b グループの検索 をクリックします。
同期するグループ 列には、DN に含まれるグループの数が表示されま
す。
c DN に含まれるすべてのグループを選択する場合は すべてを選択 をク
リックします。グループを個別に選択する場合は 選択 をクリック
し、同期対象となる特定のグループを選択します。
注意 LDAP ディレクトリに同じ名前のグループが複数ある場合は、
VMware Identity Manager でグループに一意の名前を指定する必要が
あります。名前は、グループを選択しているときに変更できます。
注意 グループを同期する際、Active Directory のプライマリ グループで
ある Domain Users に属していないユーザーの同期は行われません。
ネストされたグループ メンバーを同
期
ネストされたグループ メンバーを同期 オプションは、デフォルトで有効
になっています。このオプションが有効になっているときは、選択したグ
ループに直接属するすべてのユーザーと、その下にネストされたグループ
に属するすべてのユーザーが同期されます。ネストされたグループ自体は
同期されないことに注意してください。同期されるのは、ネストされたグ
ループに属するユーザーのみです。VMware Identity Manager ディレクト
リでは、これらのユーザーは同期対象として選択した親グループのメン
バーとなります。
ネストされたグループ メンバーを同期 オプションが無効になっている場
合、同期するグループを指定すると、そのグループに直接属するすべての
ユーザーが同期されます。その下のネストされたグループに属するユー
ザーは同期されません。グループ ツリーのスキャンに多くのリソースが消
費され時間がかかる大規模な Active Directory 構成では、このオプション
を無効にすると、時間を短縮できます。このオプションを無効にする場合
は、同期するユーザーが属するグループをすべて選択するようにしてくだ
さい。
19 次へ をクリックします。
20 必要に応じて、同期するユーザーを追加で指定します。
a + をクリックし、ユーザー DN を入力します。たとえば、
CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。
重要 入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DNに含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
b (オプション)ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成しま
す。
フィルタリングの基準となるユーザー属性、クエリ ルールおよび値を選択します。
21 次へ をクリックします。
22 ディレクトリに同期するユーザーとグループの数や、同期のスケジュールを確認します。
ユーザーとグループや、同期の頻度に変更を加えるには、編集 リンクをクリックします。
23 ディレクトリを同期 をクリックして、ディレクトリ同期を開始します。
第 2 章 VMware Identity Manager の展開
VMware, Inc. 29
注意 ネットワーク エラーが発生し、逆引き DNS を使用してホスト名を一意に解決できない場合は、構成
プロセスが停止します。ネットワークの問題を解決して仮想アプライアンスを再起動する必要があります。
その後、展開プロセスを続行できます。新しいネットワーク設定は、仮想アプライアンスを再起動しないと
使用できません。
次に進む前に
ロード バランサや高可用性構成のセットアップの詳細については、第 6 章 VMware Identity Manager アプ
ライアンスの詳細構成 (P. 75)を参照してください。
組織のアプリケーションに合わせてリソースのカタログをカスタマイズし、それらのリソースへのユーザー
アクセスを有効にすることができます。また、View、ThinApp、Citrix ベースのアプリケーションを含む
他のリソースもセットアップできます。『VMware Identity Manager でのリソースのセットアップ』を参照
してください。
VMware Identity Manager のためのプロキシ サーバの設定VMware Identity Manager 仮想アプライアンスは、インターネット上のクラウド アプリケーション カタロ
グおよびその他の Web サービスにアクセスします。HTTP プロキシを使用するインターネット アクセスを
ネットワーク構成で指定している場合は、VMware Identity Manager アプライアンスでプロキシ設定を調
整する必要があります。
インターネット トラフィックのみを処理するプロキシを有効にします。プロキシが正しく設定されている
ことを確認するために、ドメイン内の内部トラフィック用のパラメータを no-proxy に設定します。
注意 認証が必要なプロキシ サーバはサポートされません。
手順
1 vSphere Client で、root ユーザーとして VMware Identity Manager 仮想アプライアンスにログインし
ます。
2 コマンド ラインに YaST と入力して YaST ユーティリティを実行します。
3 左ペインで ネットワーク サービス を選択してから、プロキシ を選択します。
4 HTTP プロキシ URL フィールドと HTTPS プロキシ URL フィールドにプロキシ サーバの URL を入力
します。
5 終了 を選択して YaST ユーティリティを終了します。
6 VMware Identity Manager 仮想アプライアンスで Tomcat サーバを再起動して新しいプロキシ設定を使
用します。
service horizon-workspace restart
クラウド アプリケーション カタログおよびその他の Web サービスを VMware Identity Manager で使用で
きるようになりました。
ライセンス キーの入力
VMware Identity Manager アプライアンスを展開したら、ライセンス キーを入力します。
手順
1 VMware Identity Manager の管理コンソールにログインします。
2 アプライアンス設定 タブを選択してから、ライセンス をクリックします。
3 [ライセンス設定] ページで、ライセンス キーを入力して 保存 をクリックします。
Installing and Configuring VMware Identity Manager
30 VMware, Inc.
アプライアンス システム構成設定の管理 3
アプライアンスを 初に構成したら、アプライアンス管理のページに移動して、証明書のインストール、パ
スワードの管理、仮想アプライアンスのシステム情報の監視を行います。
また、データベース、FQDN、syslog、ダウンロード ログ ファイルも更新できます。
ページ名 設定の説明
データベース接続 データベース接続の設定です。内部または外部のいずれか
が有効です。データベース タイプは変更できます。外部
データベースを選択する場合には、外部データベース
URL、ユーザー名、パスワードを入力します。外部データ
ベースをセットアップするには、Connecting to theDatabase (P. 32)を参照してください。
証明書のインストール このページで VMware Identity Manager のカスタムまたは
自己署名証明書をインストールします。
VMware Identity Manager がロード バランサとともに構成
されている場合、ロード バランサのルート証明書をインス
トールできます。VMware Identity Manager のルート CA証明書の場所は、このページだけでなく、ロード バランサ
上の SSL の終了 タブにも表示されます。SSL 証明書の使
用 (P. 36)を参照してください。
Identity Manager FQDN VMware Identity Manager の FQDN がこのページに表示
されます。これは変更できます。
VMware Identity Manager FQDN は、ユーザーがサービス
へのアクセスに使用する URL です。
Syslog の構成 このページで外部 syslog サーバを有効にできます。
VMware Identity Manager ログはこの外部サーバに送信さ
れます。Syslog サーバの有効化 (P. 39)を参照してくださ
い。
パスワードの変更 このページで VMware Identity Manager の管理者ユーザー
パスワードを変更できます。
システム セキュリティ このページで VMware Identity Manager アプライアンスの
root パスワードと、リモートでログインするときに使用す
る ssh ユーザー パスワードを変更できます。
ログ ファイルの場所 ログ ファイルのリストとそのディレクトリの場所がこの
ページに表示されます。ログ ファイルを zip ファイルにバ
ンドルしてダウンロードできます。ログ ファイル情
報 (P. 39)を参照してください。
コネクタ URL も変更できます。コネクタ URL の変更 (P. 39)を参照してください。
VMware, Inc. 31
この章では次のトピックについて説明します。
n アプライアンスの構成設定の変更 (P. 32)
n “Connecting to the Database,” on page 32
n SSL 証明書の使用 (P. 36)
n VMware Identity Manager サービス URL の変更 (P. 38)
n コネクタ URL の変更 (P. 39)
n Syslog サーバの有効化 (P. 39)
n ログ ファイル情報 (P. 39)
n アプライアンスのパスワードを管理する (P. 40)
n SMTP 設定を構成する (P. 41)
アプライアンスの構成設定の変更
VMware Identity Manager を構成した後で、[アプライアンス設定] ページにアクセスして現在の構成を更新
し、仮想アプライアンスのシステム情報を監視できます。
手順
1 管理コンソールにログインします。
2 アプライアンス設定 タブを選択してから、構成の管理 をクリックします。
3 サービス管理者パスワードでログインします。
4 左側のペインで、表示または編集するページを選択します。
次に進む前に
設定や更新が有効になっていることを確認します。
Connecting to the DatabaseAn internal PostgreSQL database is embedded in the VMware Identity Manager appliance but it is notrecommended for use with production deployments. To use an external database withVMware Identity Manager, your database administrator must prepare an empty database and schemabefore connecting to the database in VMware Identity Manager.
You can connect to the external database connection when you run the VMware Identity Manager Setupwizard. You can also go to the Appliance Settings > VA Configuration > Database Connection Setup page toconfigure the connection to the external database.
Licensed users can use an external Oracle database or Microsoft SQL Server to set up a high availabilitydatabase environment.
Microsoft SQL データベースの構成
VMware Identity Manager に Microsoft SQL データベースを使用するには、Microsoft SQL Server でデータ
ベースを新規作成する必要があります。
Microsoft SQL Server で saas という名前のデータベースを作成し、horizon という名前のログイン ユー
ザーを作成します。
注意 デフォルトの照合は大文字と小文字を区別します。
Installing and Configuring VMware Identity Manager
32 VMware, Inc.
開始する前に
n サポートされているバージョンの Microsoft SQL Server が外部データベース サーバとしてインストー
ルされている。
n ロード バランス機能の実装が構成されている。
n Microsoft SQL Server Management Studio か、別の Microsoft SQL Server CLI クライアントから、デー
タベース コンポーネントにアクセスして作成するための管理者権限。
手順
1 sysadmin として Microsoft SQL Server Management Studio セッションにログインするか、sysadminの権限を持ったユーザー アカウントとしてログインします。
エディタ ウィンドウが表示されます。
2 ツールバーの 新規クエリ をクリックします。
3 次のコマンドをコピーして、エディタ ウィンドウに貼り付けます。
Microsoft SQL コマンド
CREATE DATABASE saas
COLLATE Latin1_General_CS_AS;
ALTER DATABASE saas SET READ_COMMITTED_SNAPSHOT ON;
GO
BEGIN
CREATE LOGIN horizon WITH PASSWORD = N'H0rizon!';
END
GO
USE saas;
IF EXISTS (SELECT * FROM sys.database_principals WHERE name = N'horizon')
DROP USER [horizon]
GO
CREATE USER horizon FOR LOGIN horizon
WITH DEFAULT_SCHEMA = saas;
GO
CREATE SCHEMA saas AUTHORIZATION horizon
GRANT ALL ON DATABASE::saas TO horizon;
GO
4 ツールバーで !Execute をクリックします。
これで Microsoft SQL データベース サーバが、VMware Identity Manager データベースと接続する準
備が整いました。
次に進む前に
VMware Identity Manager サーバで外部データベースを構成します。VMware Identity Manage の管理コン
ソールで、[アプライアンス設定] > [VA 構成]> [データベース接続のセットアップ] ページにアクセスしま
す。 jdbc:sqlserver://<hostname-or-DB_VM_IP_ADDR>;DatabaseName=saas の形式で JDBC URL を入力しま
す。データベース用に作成したユーザー名とパスワードを入力します。Configure VMware IdentityManager to Use an External Database (P. 35)を参照してください。
第 3 章 アプライアンス システム構成設定の管理
VMware, Inc. 33
Oracle データベースの構成
Oracle データベースのインストール時に、VMware Identity Manager とのパフォーマンスを 適化するた
め、特定の Oracle 構成を指定する必要があります。
開始する前に
作成する Oracle データベース名は、saas になります。VMware Identity Manager では、ユーザー名とス
キーマに Oracle 引用識別子が必要です。したがって、Oracle saas ユーザー名とスキーマを作成する際に
は、二重引用符を使用する必要があります。
手順
1 Oracle データベースの作成時に次の設定を指定します。
a General Purpose/Transaction Processing Database 構成オプションを選択します。
b Unicode を使用 > UTF8 をクリックします。
c National Character Set を使用します。
2 インストール完了後に Oracle データベースに接続します。
3 Oracle データベースに sys ユーザーとしてログインします。
4 プロセス接続を増やします。追加のサービス仮想マシンごとに、VMware Identity Manager が機能す
るための 300 以上のプロセス接続が必要です。たとえば、環境に 2 つのサービス仮想マシンがある場合
は、sys ユーザーまたは system ユーザーとして alter コマンドを実行します。
a alter コマンドを使用して、プロセス接続を増やします。
alter system set processes=600 scope=spfile
b データベースを再起動します。
5 すべてのユーザーが使用できるデータベース トリガーを作成します。
データベース トリガを作成するためのサンプル SQL
CREATE OR REPLACETRIGGER CASE_INSENSITIVE_ONLOGONAFTER LOGON ON DATABASEDECLAREusername VARCHAR2(30);BEGINusername:=SYS_CONTEXT('USERENV','SESSION_USER');IF username = 'saas' THENexecute immediate 'alter session set NLS_SORT=BINARY_CI';execute immediate 'alter session set NLS_COMP=LINGUISTIC';END IF;EXCEPTIONWHEN OTHERS THENNULL;END;
Installing and Configuring VMware Identity Manager
34 VMware, Inc.
6 Oracle コマンドを実行して新しいユーザー スキーマを作成します。
新しいユーザーを作成するためのサンプル SQL
CREATE USER "saas"IDENTIFIED BY <password>DEFAULT TABLESPACE USERSTEMPORARY TABLESPACE TEMPPROFILE DEFAULTACCOUNT UNLOCK;GRANT RESOURCE TO "saas" ;GRANT CONNECT TO "saas" ;ALTER USER "saas" DEFAULT ROLE ALL;GRANT UNLIMITED TABLESPACE TO "saas";
内部データベースの管理
内部 PostgreSQL データベースが構成済みで、デフォルトで使用可能になっています。本番環境では、内部
データベースを使用することはお勧めしません。
VMware Identity Manager をインストールしてパワーオンの状態にすると、初期化プロセス中に、内部
データベース ユーザーのためのランダム パスワードが生成されます。このパスワードは展開ごとに一意
で、ファイル /usr/local/horizon/conf/db.pwd にあります。
内部データベースを構成して高可用性を実現する場合は、KB 2094258 を参照してください。
Configure VMware Identity Manager to Use an External DatabaseAfter you set up the database in the VMware Identity Manager Setup wizard, you can configureVMware Identity Manager to use a different database.
You must point VMware Identity Manager to an initialized, populated database. For example, you can use adatabase configured as the result of a successful run of the VMware Identity Manager Setup wizard, adatabase from a backup, or an existing database from a recovered snapshot.
Prerequisites
n Install and configure the supported Microsoft SQL or Oracle edition as the external database server. Forinformation about specific versions that are supported by VMware Identity Manager, see the VMwareProduct Interoperability Matrixes athttp://www.vmware.com/resources/compatibility/sim/interop_matrix.php.
Procedure
1 In the administration console click Appliance Settings and select VA Configuration.
2 Click Manage Configuration.
3 Log in with the VMware Identity Manager administrator password.
4 On the Database Connection Setup page, select External Database as the database type.
第 3 章 アプライアンス システム構成設定の管理
VMware, Inc. 35
5 Enter information about the database connection.
a Type the JDBC URL of the database server.
Microsoft SQL jdbc:sqlserver://hostname_or_IP_address;DatabaseName=horizon
Oracle jdbc:oracle:thin:@//hostname_or_IP_address:port/sid
b Type the name of the user with read and write privileges to the database.
Microsoft SQL horizon
Oracle “saas”
c Type the password for the user you created when you configured the database.
6 Click Test Connection to verify and save the information.
SSL 証明書の使用VMware Identity Manager アプライアンスのインストール時に、デフォルトの SSL 証明書が自動的にイン
ストールされます。実装環境に関する一般的なテストにこの自己署名証明書を使用できます。本番環境で
は、商用 SSL 証明書を生成してインストールすることを強く推奨します。
機関証明書 (CA) は信頼できるエンティティで、証明書および作成者の ID を保証します。証明書が信頼で
きる CA によって署名されていれば、ユーザーは証明書の検証を要求するメッセージを受け取ることはなく
なります。
VMware Identity Manager を自己署名の SSL 証明書を使用して展開する場合は、
VMware Identity Manager にアクセスするすべてのクライアントがルート CA 証明書を信頼できる CA 証明書として使用する必要があります。この場合のクライアントには、エンド ユーザーのマシン、ロード バランサ、プロキシなどが含まれます。ルート CA は、
https://myconnector.domain.com/horizon_workspace_rootca.pem からダウンロードできます。
アプライアンス設定 > 構成の管理 > 証明書のインストール ページで、署名された CA 証明書をインストー
ルできます。このページでは、ロード バランサのルート CA 証明書も同じように追加できます。
パブリック証明機関の適用VMware Identity Manager サービスのインストール時に、デフォルトの SSL サーバ証明書が生成されま
す。デフォルトの証明書は、テストに使用できます。お使いの環境には商用の SSL 証明書を生成してイン
ストールする必要があります。
注意 VMware Identity Manager がロード バランサを参照している場合、SSL 証明書はロード バランサに
適用されます。
開始する前に
証明書の署名要求 (CSR) を生成し、CA から有効な署名証明書を取得します。組織が CA によって署名され
た SSL 証明書を提供している場合には、これらの証明書を使用できます。証明書は PEM 形式である必要が
あります。
手順
1 管理コンソールで、アプライアンス設定 をクリックします。
デフォルトで VA 構成が選択されます。
2 構成の管理 をクリックします。
3 表示されるダイアログ ボックスで、VMware Identity Manager サーバの管理者ユーザー パスワードを
入力します。
Installing and Configuring VMware Identity Manager
36 VMware, Inc.
4 証明書のインストール を選択します。
5 [Identity Manager アプライアンス上の SSL の終了] タブで、カスタム証明書 を選択します。
6 SSL 証明書チェーン テキストボックスに、ホスト、中間、ルート証明書の順に貼り付けます。
SSL 証明書は、証明書チェーン全体が正しい順序で含まれている場合にのみ機能します。各証明書につ
いて、-----BEGIN CERTIFICATE----- と -----END CERTIFICATE---- の行を含めて、これらの行の間にあ
るすべての行をコピーします。
証明書に FQDN ホスト名が含まれていることを確認します。
7 秘密キーを [秘密キー] テキストボックスに貼り付けます。----BEGIN RSA PRIVATE KEY と ---ENDRSA PRIVATE KEY の行の間にあるすべての行をコピーします。
8 保存 をクリックします。
例: 証明書の例
証明書チェーンの例
-----BEGIN CERTIFICATE-----
jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+.........W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+.........O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+.........5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1
-----END CERTIFICATE-----
秘密キーの例
-----BEGIN RSA PRIVATE KEY-----
jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+.........1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1
-----END RSA PRIVATE KEY-----
第 3 章 アプライアンス システム構成設定の管理
VMware, Inc. 37
SSL 証明書の追加
証明書を適用するときには、証明書チェーン全体を必ず追加してください。インストールする証明書は
PEM 形式である必要があります。
証明書チェーン全体を追加している場合にのみ、SSL 証明書は有効になります。各証明書について、-----BEGIN CERTIFICATE----- と -----END CERTIFICATE---- の行を含み、これらの行の間にあるすべての行を
コピーします。
重要 SSL 証明書、中間 CA 証明書、ルート CA 証明書の順番で、証明書チェーンを追加する必要がありま
す。
証明書チェーンの例
-----BEGIN CERTIFICATE-----
SSL Cert - Appliance SSL Cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Intermediate/Issuing CA Cert
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
Root CA Cert
-----END CERTIFICATE-----
VMware Identity Manager サービス URL の変更
ユーザーは、サービスへのアクセスに使用する、VMware Identity Manager サービス URL を変更できま
す。たとえば、この URL をロード バランサ URL に変更できます。
手順
1 VMware Identity Manager 管理コンソールにログインします。
2 アプライアンス設定 タブをクリックして、VA 構成 を選択します。
3 構成の管理 をクリックし、admin ユーザーのパスワードを使用してログインします。
4 Identity Manager の FQDN をクリックして、Identity Manager の FQDN フィールドに新しい URLを入力します。
https://FQDN:port の形式を使用します。ポートの指定はオプションです。デフォルト ポートは 443 です。
たとえば、https://myservice.example.com と指定します。
5 保存 をクリックします。
次に進む前に
新しいポータルのユーザー インターフェイスを有効にします。
1 https://VMwareIdentityManagerURL/admin に移動して、管理コンソールにアクセスします。
2 管理コンソールで、カタログ タブの矢印をクリックして、設定 を選択します。
3 左ペインで 新しいエンド ユーザー ポータル UI を選択して、新しいポータル UI を有効化 をクリック
します。
Installing and Configuring VMware Identity Manager
38 VMware, Inc.
コネクタ URL の変更
コネクタ URL を変更するには、管理コンソールで ID プロバイダのホスト名を更新します。コネクタを IDプロバイダとして使用している場合は、コネクタ URL がログイン ページの URL となり、エンド ユーザー
に表示されます。
手順
1 VMware Identity Manager 管理コンソールにログインします。
2 ID とアクセス管理 タブをクリックしてから、ID プロバイダ タブをクリックします。
3 [ID プロバイダ] ページで、更新する ID プロバイダを選択します。
4 IdP ホスト名 フィールドで、新しいホスト名を入力します。
hostname:port の形式で指定します。ポートの指定はオプションです。デフォルト ポートは 443 です。
たとえば、vidm.example.com と指定します。
5 保存 をクリックします。
Syslog サーバの有効化
サービスからのアプリケーションレベルのイベントは、外部の syslog サーバにエクスポートできます。オ
ペレーティング システムのイベントはエクスポートされません。
多くの企業ではディスク容量が制限されているため、仮想アプライアンスは、詳細なログ履歴を保存しませ
ん。より多くの履歴を保存したり、ログ履歴を一元管理する場所を作成したりする場合は、外部の syslogサーバを設定できます。
初期構成中に syslog サーバを指定しない場合は、後からアプライアンス設定 > VA 構成 > 構成の管理 >syslog 構成のページで構成できます。
開始する前に
外部の syslog サーバをセットアップします。利用可能な任意の標準 syslog サーバを使用できます。いくつ
かの syslog サーバには、詳細検索機能が備わっています。
手順
1 管理コンソールにログインします。
2 アプライアンス設定 タブをクリックし、左側のペインで VA 構成 を選択して、構成の管理 をクリック
します。
3 左側のペインで Syslog 構成 を選択します。
4 有効化 をクリックします。
5 ログを保存する syslog サーバの IP アドレスまたは FQDN を入力します。
6 保存 をクリックします。
ログのコピーが syslog サーバに送信されます。
ログ ファイル情報
VMware Identity Manager ログ ファイルは、デバッグとトラブルシューティングに役立ちます。下記にリ
ストしたログ ファイルの開始点は共通です。その他のログは /opt/vmware/horizon/workspace/logs ディレ
クトリにあります。
第 3 章 アプライアンス システム構成設定の管理
VMware, Inc. 39
表 3‑1. ログ ファイル
コンポーネント ログ ファイルの場所 説明
Identity Managerサービス ログ
/opt/vmware/horizon/workspace/logs/horizon.log
資格、ユーザー、およびグループなどの、
VMware Identity Manager アプリケーションのアク
ティビティに関する情報。
Configurator ログ /opt/vmware/horizon/workspace/logs/configurator.log
Configurator が REST クライアントと Web インター
フェイスから受け取る要求。
コネクタ ログ /opt/vmware/horizon/workspace/logs/connector.log
Web インターフェイスから受信された各要求の記
録。各ログ エントリには要求 URL、タイムスタン
プ、例外が含まれています。同期アクションは記録さ
れません。
Update ログ /opt/vmware/var/log/update.log
/opt/vmware/var/log/vami
VMware Identity Manager アップグレード中の更新要
求に関連する出力メッセージの記録。
/opt/vmware/var/log/vami ディレクトリのファイ
ルはトラブルシューティングに役立ちます。これらの
ファイルは、アップグレード後のすべての仮想マシン
にあります。
Apache Tomcat ログ
/opt/vmware/horizon/workspace/logs/catalina.log
他のログ ファイルで記録されないメッセージの
Apache Tomcat レコード。
ログ情報の収集
テストやトラブルシューティング時にログを参照することで、仮想アプライアンスのアクティビティやパ
フォーマンスに関するフィードバック、および発生した問題に関する情報を確認できます。
ユーザーの環境にインストールされている各アプライアンスのログを収集します。
手順
1 管理コンソールにログインします。
2 アプライアンス設定 タブを選択してから、構成の管理 をクリックします。
3 ログ ファイルの場所 をクリックし、ログ バンドルの準備 をクリックします。
情報は、ダウンロード可能な tar.gz ファイルに収集されます。
4 準備ができたバンドルをダウンロードします。
次に進む前に
すべてのログを収集するには、各アプライアンスでこの操作を実行します。
アプライアンスのパスワードを管理する
仮想アプライアンスを構成したときに、管理者ユーザー、root ユーザー、sshuser のパスワードを作成しま
した。[アプライアンス設定] ページでこれらのパスワードを変更できます。
必ず強度の高いパスワードを作成してください。強度の高いパスワードの長さは、少なくとも 8 文字であ
り、大文字と小文字が含まれ、少なくとも 1 つ数字および特殊文字が含まれる必要があります。
手順
1 管理コンソールで、アプライアンス設定 タブをクリックします。
2 VA 構成 > 構成の管理 をクリックします。
Installing and Configuring VMware Identity Manager
40 VMware, Inc.
3 管理者パスワードを変更するには、パスワードの変更 を選択します。ルートまたは sshuser パスワー
ドを変更するには、システム セキュリティ を選択します。
重要 管理者ユーザーは、6 文字以上のパスワードを使用する必要があります。
4 新しいパスワードを入力します。
5 保存 をクリックします。
SMTP 設定を構成する
SMTP サーバ設定を構成して、VMware Identity Manager サービスから電子メール通知を受信します。
ローカル ユーザーとして作成された新規ユーザーに対して、および VMware Identity Manager サービスで
パスワードがリセットされたときに、E メール通知が送信されます。
手順
1 管理コンソールにログインします。
2 アプライアンス設定 タブを選択し、SMTP をクリックします。
3 SMTP サーバのホスト名を入力します。
例:smtp.example.com
4 SMTP サーバのポート番号を入力します。
例:25
5 (オプション)認証が必要な SMTP サーバの場合は、ユーザー名とパスワードを入力します。
6 保存 をクリックします。
第 3 章 アプライアンス システム構成設定の管理
VMware, Inc. 41
Installing and Configuring VMware Identity Manager
42 VMware, Inc.
エンタープライズ ディレクトリとの統合 4
ユーザーとグループをエンタープライズ ディレクトリから VMware Identity Manager サービスに同期する
には、VMware Identity Manager をエンタープライズ ディレクトリに統合します。
以下のディレクトリのタイプがサポートされます。
n LDAP 経由の Active Directory
n Active Directory、統合 Windows 認証
n LDAP ディレクトリ
エンタープライズ ディレクトリと統合するには、次のタスクを実行します。
n VMware Identity Manager サービスでユーザーに与える属性を指定します。
n エンタープライズ ディレクトリと同じ種類のディレクトリを VMware Identity Manager サービスに作
成し、接続の詳細を指定します。
n Active Directory または LDAP ディレクトリで使用される属性に VMware Identity Manager 属性を
マップします。
n 同期するユーザーとグループを指定します。
n ユーザーとグループを同期します。
エンタープライズ ディレクトリを統合し、 初の同期を実行したら、構成を更新し、定期的な同期化のス
ケジュールを設定するか、任意の時間に同期を開始することができます。
この章では次のトピックについて説明します。
n ディレクトリ統合に関連する重要な概念 (P. 43)
n Active Directory との連携 (P. 45)
n LDAP ディレクトリとの連携 (P. 59)
n フェイルオーバーと冗長性を構成してからディレクトリを追加 (P. 64)
ディレクトリ統合に関連する重要な概念
VMware Identity Manager サービスが Active Directory または LDAP ディレクトリ環境にどのように統合
するかを理解するには、いくつかの概念が不可欠です。
Connectorこのサービスのコンポーネントである コネクタ は、次の機能を実行します。
n ユーザーおよびグループ データを Active Directory または LDAP ディレクトリからサービスに同期し
ます。
VMware, Inc. 43
n ID プロバイダとして使用される場合、サービスに対してユーザーを認証します。
コネクタ は、デフォルト ID プロバイダになります。SAML 2.0 プロトコルをサポートするサードパー
ティ ID プロバイダを使用することもできます。認証タイプが コネクタ でサポートされない場合、ま
たはサードパーティの ID プロバイダが企業のセキュリティ ポリシーに適切な場合は、サードパーティ
ID プロバイダを使用します。
注意 サードパーティ ID プロバイダを使用する場合は、ユーザー データおよびグループ データを同期
するよう コネクタ を構成するか、またはジャストインタイム ユーザー プロビジョニングを構成できま
す。詳細については、『VMware Identity Manager の管理』の「ジャストインタイム ユーザー プロビ
ジョニング」セクションを参照してください。
ディレクトリ
VMware Identity Manager サービスにはそれ自身のディレクトリの概念があり、これは環境の ActiveDirectory または LDAP ディレクトリに対応しています。このディレクトリは、属性を使用してユーザーと
グループを定義します。サービスで 1 つ以上のディレクトリを作成してから、これらのディレクトリを
Active Directory または LDAP ディレクトリと同期します。サービスでは次のディレクトリ タイプを作成
できます。
n Active Directory
n LDAP 経由の Active Directory 単一の Active Directory ドメイン環境に接続する場合には、この
ディレクトリ タイプを作成します。LDAP 経由の Active Directory のディレクトリ タイプでは、
コネクタ は単純なバインド認証を使用して Active Directory をバインドします。
n Active Directory、統合 Windows 認証マルチドメインまたはマルチフォレストの Active Directoryドメイン環境に接続する場合には、このディレクトリ タイプを作成します。コネクタ は、統合
Windows 認証を使用して Active Directory をバインドします。
単一ドメインかマルチドメインか、またドメイン間で使用される信頼のタイプなど、ユーザーの
Active Directory 環境によって、作成するディレクトリのタイプと数は異なります。通常の環境では、
作成するディレクトリは 1 つです。
n LDAP ディレクトリ
サービスは Active Directory または LDAP ディレクトリに直接アクセスすることはできません。コネクタ
のみが直接アクセスできます。そのため、コネクタ インスタンスとこのサービスで作成された各ディレク
トリを関連付けます。
ワーカー
コネクタ インスタンスをディレクトリに関連付けるときに、コネクタは、ワーカーと呼ばれる、関連付け
られたディレクトリのパーティションを作成します。コネクタ インスタンスには、複数のワーカーを関連
付けることができます。各ワーカーは、ID プロバイダとして動作します。ワーカーごとに認証方法を定義
および構成します。
コネクタ は、1 つ以上のワーカーを介して Active Directory または LDAP ディレクトリとサービス間で
ユーザーとグループを同期します。
重要 同じ コネクタ インスタンスでは、統合 Windows 認証タイプの Active Directory の 2 つのワーカーを
使用することはできません。
セキュリティの考慮事項
VMware Identity Manager サービスにエンタープライズ ディレクトリを連携する場合、ユーザー パスワー
ドの複雑さの要件やアカウントのロックアウト ポリシーなどのセキュリティ設定は、エンタープライズ
ディレクトリ内で直接設定する必要があります。VMware Identity Manager で、これらの設定を上書きす
ることはありません。
Installing and Configuring VMware Identity Manager
44 VMware, Inc.
Active Directory との連携
VMware Identity Manager と Active Directory 環境を連携して、ユーザーとグループを Active Directory から VMware Identity Manager に同期することができます。
ディレクトリ統合に関連する重要な概念 (P. 43)も参照してください。
Active Directory 環境
このサービスは、単一の Active Directory ドメイン、単一の Active Directory フォレスト内の複数のドメイ
ン、または複数の Active Directory フォレストにわたる複数のドメインを持つ Active Directory 環境と連携
できます。
単一の Active Directory ドメイン環境
単一の Active Directory 環境では、単一の Active Directory ドメインからユーザーとグループを同期できま
す。
この環境で、サービスにディレクトリを追加するときには、[LDAP 経由の Active Directory] オプションを
選択します。
詳細については、次を参照してください。
n ドメイン コントローラの選択(domain_krb.properties ファイル) (P. 47)
n Active Directory で同期されるユーザー属性の管理 (P. 51)
n ドメインに参加するために必要な権限 (P. 52)
n サービスへの Active Directory 接続の構成 (P. 53)
マルチ ドメイン、シングル フォレストの Active Directory 環境
マルチドメイン、シングル フォレストの Active Directory 環境では、シングル フォレスト内の複数の
Active Directory ドメインからユーザーとグループを同期できます。
単一の Active Directory、統合 Windows 認証のディレクトリ タイプとして、また、グローバル カタログ
オプションで構成された [LDAP 経由の Active Directory] ディレクトリ タイプとして、この ActiveDirectory 環境にサービスを構成できます。
n 推奨されるオプションは、単一の Active Directory、統合 Windows 認証のディレクトリ タイプです。
この環境にディレクトリを追加する場合、[Active Directory(統合 Windows 認証)] オプションを選
択します。
詳細については、次を参照してください。
n ドメイン コントローラの選択(domain_krb.properties ファイル) (P. 47)
n Active Directory で同期されるユーザー属性の管理 (P. 51)
n ドメインに参加するために必要な権限 (P. 52)
n サービスへの Active Directory 接続の構成 (P. 53)
n 統合 Windows 認証がユーザーの Active Directory 環境で動作しない場合、LDAP 経由の ActiveDirectory を作成して、グローバル カタログ オプションを選択します。
グローバル カタログ オプションを選択するときには、次のようないくつかの制約があります。
n グローバル カタログに複製される Active Directory のオブジェクト属性は、Active Directory スキーマで部分的な属性セット (PAS) として識別されます。 これらの属性のみが、サービスによる
属性マッピングで利用できます。必要な場合には、スキーマを編集して、グローバル カタログに
保存されている属性を追加または削除します。
第 4 章 エンタープライズ ディレクトリとの統合
VMware, Inc. 45
n グローバル カタログには、ユニバーサル グループのグループ メンバーシップ(メンバー属性)の
みが保存されます。ユニバーサル グループのみがサービスと同期されます。必要な場合、グルー
プの範囲を、ローカル ドメインまたはグローバルからユニバーサルへと変更できます。
n サービスでディレクトリを構成するときに定義したバインド DN アカウントには、Token-Groups-Global-And-Universal (TGGAU) 属性の読み取り権限が必要です。
Active Directory は、標準の LDAP クエリにポート 389 と 636 を使用します。 グローバル カタログ クエリには、ポート 3268 および 3269 が使用されます。
グローバル カタログ環境でディレクトリを追加するときには、構成時に次の項目を指定します。
n [LDAP 経由の Active Directory] オプションを選択します。
n このディレクトリは DNS サービス ロケーションをサポートします オプションのチェック ボック
スを選択解除します。
n このディレクトリには、グローバル カタログがあります オプションを選択します。 このオプショ
ンを選択すると、サーバのポート番号が 3268 に自動的に変更されます。 また、グローバル カタロ
グ オプションを構成するときにベース DN は不要であるため、[ベース DN] テキスト ボックスは
表示されません。
n Active Directory サーバのホスト名を追加します。
n Active Directory に SSL 経由でアクセスする必要がある場合、このディレクトリには SSL を使用
するすべての接続が必要です オプションを選択して、表示されるテキスト ボックスに証明書を
ペーストします。このオプションを選択すると、サーバのポート番号が 3269 に自動的に変更され
ます。
信頼関係があるマルチフォレスト Active Directory 環境
信頼関係があるマルチフォレスト Active Directory 環境では、ドメイン間で双方向に信頼するフォレスト全
体で複数の Active Directory ドメインのユーザーとグループを同期できます。
この環境にディレクトリを追加する場合、[Active Directory(統合 Windows 認証)] オプションを選択し
ます。
詳細については、次を参照してください。
n ドメイン コントローラの選択(domain_krb.properties ファイル) (P. 47)
n Active Directory で同期されるユーザー属性の管理 (P. 51)
n ドメインに参加するために必要な権限 (P. 52)
n サービスへの Active Directory 接続の構成 (P. 53)
信頼関係がないマルチフォレスト Active Directory 環境
信頼関係がないマルチフォレスト Active Directory 環境では、ドメイン間に信頼関係がないフォレスト全体
で複数の Active Directory ドメインのユーザーとグループを同期できます。この環境では、各フォレストに
対して 1 つディレクトリを作成し、サービス内で複数のディレクトリを作成します。
サービスで作成するディレクトリのタイプは、フォレストによって変わります。複数のドメインがあるフォ
レストの場合、[Active Directory(統合 Windows 認証)] オプションを選択します。単一ドメインのフォ
レストでは、[LDAP 経由の Active Directory] オプションを選択します。
詳細については、次を参照してください。
n ドメイン コントローラの選択(domain_krb.properties ファイル) (P. 47)
n Active Directory で同期されるユーザー属性の管理 (P. 51)
n ドメインに参加するために必要な権限 (P. 52)
n サービスへの Active Directory 接続の構成 (P. 53)
Installing and Configuring VMware Identity Manager
46 VMware, Inc.
ドメイン コントローラの選択(domain_krb.properties ファイル)
domain_krb.properties ファイルは、DNS サービス ロケーション(SRV レコード)ルックアップが有効な
ディレクトリに対し、どのドメイン コントローラを使用するかを決定します。このファイルには、各ドメ
インのドメイン コントローラのリストが含まれます。ファイルは 初にコネクタによって作成されます
が、その後はユーザーが管理する必要があります。このファイルの設定は、DNS サービス ロケーション
(SRV) ルックアップより優先します。
次のタイプのディレクトリは、DNS サービス ロケーション ルックアップが有効になっています。
n LDAP 経由の Active Directory で、このディレクトリ は DNS サービス ロケーションをサポートしま
す オプションが選択されている場合に有効です。
n Active Directory(統合 Windows 認証)では、DNS サービス ロケーション ルックアップは常に有効で
す。
DNS サービス ロケーション ルックアップが有効なディレクトリを作成すると、まず仮想マシン
の /usr/local/horizon/conf ディレクトリに domain_krb.properties ファイルが自動的に作成され、各ドメ
インのドメイン コントローラがファイルに自動的に記載されます。ファイルに記載するため、コネクタ
は、コネクタと同じサイトにあるドメイン コントローラを探し、アクセス可能で応答が も速いドメイン
コントローラを 2 つ選択します。
DNS サービス ロケーション ルックアップを有効にしたディレクトリを作成したり、新しいドメインを統合
Windows 認証ディレクトリへ追加すると、新しいドメインおよびそのドメインのドメイン コントローラの
リストがファイルに追加されます。
domain_krb.properties ファイルを編集することにより、デフォルトの設定をいつでも変更できます。ベス
ト プラクティスとして、ディレクトリを作成したら domain_krb.properties ファイルを表示し、リストに
含まれるドメイン コントローラが構成に 適であることを確認してください。グローバルな ActiveDirectory 展開環境で、地理的に分散する複数のドメイン コントローラを使用する場合は、ActiveDirectory との高速通信を確保するため、コネクタに物理的に近い場所にあるドメイン コントローラを使用
します。
その他の変更を行う場合も、このファイルを手動で更新する必要があります。次のルールが適用されます。
n domain_krb.properties ファイルは、コネクタを含む仮想マシン内で作成されます。追加のコネクタが
展開されていない一般的な環境では、VMware Identity Manager サービスの仮想マシンにファイルが
作成されます。ディレクトリに追加のコネクタを使用している場合は、コネクタの仮想マシンにファイ
ルが作成されます。1 台の仮想マシンが保持できる domain_krb.properties ファイルは 1 つのみです。
n DNS サービス ロケーション ルックアップが有効なディレクトリを作成すると、まずファイルが作成さ
れ、各ドメインのドメイン コントローラがファイルに自動で記載されます。
n 各ドメインのドメイン コントローラは、優先度が高い順に記載されます。Active Directory への接続を
試行する際に、コネクタはリストの一番 初に記載されているドメイン コントローラを使用します。
このドメイン コントローラにアクセスできない場合は、リストで 2 番目に表示されているドメイン コントローラから順に使用していきます。
n DNS サービス ロケーション ルックアップが有効になっている新しいディレクトリを作成するとき、ま
たはドメインを統合 Windows 認証ディレクトリに追加するときにのみ、ファイルが更新されます。新
しいドメイン、およびそのドメインのドメイン コントローラのリストがファイルに追加されます。
ファイルにドメインのエントリがすでに存在する場合は、更新されません。たとえば、ディレクトリを
作成し、その後に削除した場合、元のドメイン エントリがファイルに残り、更新されません。
n その他の状況で、ファイルの自動更新が行われることはありません。たとえば、ユーザーがディレクト
リを削除した場合でも、ドメイン エントリはファイルから削除されません。
n ファイル内に記載のドメイン コントローラのいずれかにアクセスできない場合は、ファイルを編集し
て削除します。
第 4 章 エンタープライズ ディレクトリとの統合
VMware, Inc. 47
n ドメイン エントリを手動で追加または編集した場合、その変更内容が上書きされることはありませ
ん。
domain_krb.properties ファイルの編集については、domain_krb.properties ファイルの編集 (P. 49)を参照
してください。
重要 /etc/krb5.conf ファイルの内容は domain_krb.properties ファイルと一貫している必要があります。
domain_krb.properties ファイルを更新するときは、必ず krb5.conf ファイルも更新するようにします。詳
細については domain_krb.properties ファイルの編集 (P. 49)およびナレッジベースの記事 KB2091744 を参
照してください。
domain_krb.properties ファイルへの自動入力に使用されるドメイン コントローラの選択方法
domain_krb.properties ファイルに自動入力するため、コネクタが ドメイン コントローラを選択する際
は、 初に IP アドレスとネットマスクに基づいて、コネクタが存在するサブネットを検出します。次に、
Active Directory 構成を使用してサブネットのサイトを特定し、サイトのドメイン コントローラのリストを
取得します。さらに、リストのフィルタリングによって適切なドメインを絞り込み、その中から も高速に
応答するドメイン コントローラを 2 つ選び出します。
も近い場所にあるドメイン コントローラを検出するための、VMware Identity Manager の要件は次のと
おりです。
n コネクタのサブネットが Active Directory 構成内に存在するか、またはサブネットが runtime-config.properties ファイルに指定されている必要があります。デフォルトで選択されたサブネットの
オーバーライド (P. 48)を参照してください。
サブネットはサイトを判断するために使用されます。
n Active Directory 構成がサイトを認識する必要があります。
サブネットを検出できない場合、または Active Directory 構成がサイトを認識しない場合、DNS サービス
ロケーション ルックアップを使用してドメイン コントローラを検出し、アクセス可能なドメイン コント
ローラがファイルに入力されます。これらのドメイン コントローラとコネクタが地理的に離れている場合
があることに注意してください。このようなときは、Active Directory への通信で遅延やタイムアウトが発
生することがあります。その場合には、domain_krb.properties ファイルを手動で編集して、各ドメインに
適切なドメイン コントローラを指定します。domain_krb.properties ファイルの編集 (P. 49)を参照してく
ださい。
domain_krb.properties ファイルのサンプル
example.com=host1.example.com:389,host2.example.com:389
デフォルトで選択されたサブネットのオーバーライド
domain_krb.properties ファイルを自動入力するため、コネクタは同一サイトのドメイン コントローラを検
出しようと試みます。このため、コネクタと Active Directory の間にわずかな遅延が生じます。
コネクタはサイトを検出するため、IP アドレスとネットマスクに基づいてコネクタが存在するサブネット
を検出します。次に、Active Directory 構成を使用して、そのサブネットのサイトを特定します。仮想マシ
ンのサブネットが Active Directory に含まれていない場合、または自動選択されたサブネットをオーバーラ
イドしたい場合は、runtime-config.properties ファイルにサブネットを指定します。
手順
1 VMware Identity Manager 仮想マシンに root ユーザーとしてログインします。
注意 ディレクトリに追加のコネクタを使用している場合は、コネクタの仮想マシンにログインしま
す。
Installing and Configuring VMware Identity Manager
48 VMware, Inc.
2 /usr/local/horizon/conf/runtime-config.properties ファイルを編集して、次の属性を追加します。
siteaware.subnet.override=subnet
Subnet は、使用したいドメイン コントローラを含むサイトのサブネットです。例:
siteaware.subnet.override=10.100.0.0/20
3 ファイルを保存して閉じます。
4 サービスを再起動します。
service horizon-workspace restart
domain_krb.properties ファイルの編集
/usr/local/horizon/conf/domain_krb.properties ファイルは、DNS サービス ロケーション ルックアップ
が有効になっているディレクトリに使用するドメイン コントローラを決定します。いつでもファイルを編
集して、任意のドメインのドメイン コントローラ リストの変更や、ドメイン エントリの追加または削除が
できます。ユーザーが加えた変更はオーバーライドされません。
このファイルは、 初にコネクタにより作成され、自動入力されます。次のようなシナリオでは、手動で
ファイルを更新する必要があります。
n デフォルトで選択されたドメイン コントローラが構成に 適でない場合は、ファイルを編集して、使
用するドメイン コントローラを指定します。
n ディレクトリを削除する場合は、対応するドメイン エントリをファイルから削除します。
n ファイルに含まれるいずれかのドメイン コントローラにアクセスできない場合は、ファイルから削除
します。
ドメイン コントローラの選択(domain_krb.properties ファイル) (P. 47)も参照してください。
手順
1 VMware Identity Manager 仮想マシンに root ユーザーとしてログインします。
注意 ディレクトリに追加のコネクタを使用している場合は、コネクタの仮想マシンにログインしま
す。
2 ディレクトリを /usr/local/horizon/conf に変更します。
3 domain_krb.properties ファイルを編集して、ホスト値にドメインのリストを追加または編集します。
次の形式を使用します。
domain=host:port,host2:port,host3:port
例:
example.com=examplehost1.example.com:389,examplehost2.example.com:389
リスト内のドメイン コントローラを優先度順に並べます。Active Directory への接続を試行する際に、
コネクタはリストの一番 初に記載されているドメイン コントローラを使用します。このドメイン コントローラにアクセスできない場合は、リストで 2 番目に表示されているドメイン コントローラから
順に使用していきます。
重要 ドメイン名は小文字にする必要があります。
4 次のコマンドを使用して、domain_krb.properties ファイルの所有者を horizon に変更し、グループを
www に変更します。
chown horizon:www /usr/local/horizon/conf/domain_krb.properties
第 4 章 エンタープライズ ディレクトリとの統合
VMware, Inc. 49
5 サービスを再起動します。
service horizon-workspace restart
次に進む前に
domain_krb.properties ファイルを編集してから /etc/krb5.conf ファイルを編集します。krb5.conf ファイ
ルの内容は domain_krb.properties ファイルと一貫している必要があります。
1 /etc/krb5.conf ファイルを編集し、realms セクションのドメインとホストの情報を指定する値
に、/usr/local/horizon/conf/domain_krb.properties ファイルで使用されているものと同じ値を指定
します。ポート番号を指定する必要はありません。たとえば、domain_krb.properties ファイルに
example.com=examplehost.example.com:389 のドメイン エントリがある場合、krb5.conf ファイルを次
のように更新します。
[realms]
GAUTO-QA.COM = {
auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/
auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/
auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-
QA\.COM/GAUTO2QA/
auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/
auth_to_local = DEFAULT
kdc = examplehost.example.com
}
注意 kdc エントリは、複数入力することができます。ただし、ほとんどの場合、kdc の値は 1 つだけ
であるため、これは必須ではありません。追加の kdc の値を定義する場合は、ドメイン コントローラ
を定義する kdc のエントリを 1 行につき 1 つ指定します。
2 Workspace サービスを再起動します。
service horizon-workspace restart
ナレッジベースの記事 KB2091744 も参照してください。
domain_krb.properties のトラブルシューティング
domain_krb.properties ファイルのトラブルシューティングでは、次の情報を使用します。
「ドメイン解決エラー」の問題
domain_krb.properties ファイルにドメインのエントリがすでに含まれているときに、同じドメインに異な
るタイプの新しいディレクトリを作成しようとすると、「ドメイン解決エラー」が発生します。新しいディ
レクトリを作成する前に、domain_krb.properties ファイルを編集して、ドメイン エントリを手動で削除す
る必要があります。
ドメイン コントローラにアクセスできない問題
ドメイン エントリが domain_krb.properties ファイルに追加されると、自動的に更新されなくなります。
ファイルに表示されるいずれかのドメイン コントローラにアクセスできなくなった場合は、手動でファイ
ルを編集して削除します。
Installing and Configuring VMware Identity Manager
50 VMware, Inc.
Active Directory で同期されるユーザー属性の管理
VMware Identity Manager サービス ディレクトリのセットアップ時に、VMware Identity Manager ディレ
クトリと同期するユーザーを指定するために Active Directory のユーザー属性とフィルタを選択します。管
理コンソールの [ID とアクセス管理] タブから [セットアップ] > [ユーザー属性] にアクセスして、同期する
ユーザー属性を変更できます。
[ユーザー属性] ページで実行および保存された変更は、VMware Identity Manager ディレクトリの [マップ
された属性] ページに追加されます。属性の変更は、Active Directory を次回同期するときに、ディレクト
リで更新されます
[ユーザー属性] ページには、Active Directory 属性にマッピングできるデフォルトのディレクトリ属性が表
示されます。必須の属性を選択します。ディレクトリと同期するその他の Active Directory 属性を追加する
ことができます。属性を追加するときには、入力する属性名で大文字と小文字が区別されることに注意して
ください。たとえば、address、Address、および ADDRESS は個別の属性です。
表 4‑1. ディレクトリと同期するデフォルトの Active Directory 属性
VMware Identity Manager ディレクトリの属性名 Active Directory 属性とのデフォルトのマッピング
userPrincipalName userPrincipalName
distinguishedName distinguishedName
employeeId employeeID
domain canonicalName。オブジェクトの完全修飾ドメイン名を追加し
ます。
disabled (external user disabled) userAccountControl。 UF_Account_Disable でフラグが設定さ
れます
アカウントが無効になると、ユーザーはログインしてアプリ
ケーションとリソースにアクセスすることができません。
ユーザーに使用資格が付与されているリソースはアカウント
から削除されないため、フラグがアカウントから削除されて
も、ユーザーはログインして使用資格が付与されているリ
ソースにアクセスすることができます。
phone telephoneNumber
lastName sn
firstName givenName
email mail
userName sAMAccountName.
ディレクトリと同期する属性を選択する
Active Directory と同期するように VMware Identity Manager ディレクトリをセットアップするときに、
ディレクトリと同期するユーザー属性を指定します。ディレクトリをセットアップする前に、[ユーザー属
性] ページで、必要となるデフォルト属性を指定し、Active Directory 属性にマッピングするその他の属性
を追加できます。
ディレクトリが作成される前に [ユーザー属性] ページを構成するときに、必須にするデフォルト属性を変
更したり、属性を必須としてマークしたり、カスタム属性を追加することができます。
ディレクトリが作成された後は、必須属性の変更や、カスタム属性の削除ができます。ある属性を必須属性
に変更することはできません。
第 4 章 エンタープライズ ディレクトリとの統合
VMware, Inc. 51
ディレクトリと同期する別の属性を追加するときには、ディレクトリが作成された後に、ディレクトリの
[マップングされた属性] ページに移動して、これらの属性を Active Directory の属性にマッピングします。
重要 XenApp リソースと VMware Identity Manager の同期を計画している場合は、distinguishedNameを必須属性にする必要があります。これは、VMware Identity Manager ディレクトリを作成する前に指定
する必要があります。
手順
1 管理コンソールの [ID とアクセス管理] タブで、管理 > ユーザー属性 を選択します。
2 [デフォルト属性] セクションで、必須属性のリストを確認して、必須にする必要がある属性が反映され
るように必要な変更を加えます。
3 [属性] セクションで、VMware Identity Manager ディレクトリの属性名をリストに追加します。
4 保存 をクリックします。
デフォルト属性のステータスが更新され、追加した属性が、ディレクトリの [マップングされた属性]リストに追加されます。
5 ディレクトリが作成された後に、管理 > ディレクトリ ページに移動して、ディレクトリを選択しま
す。
6 同期設定 > マップングされた属性をクリックします。
7 追加した属性のドロップダウン メニューで、マッピング先の Active Directory 属性を選択します。
8 保存 をクリックします。
ディレクトリは、Active Directory と次回同期されるときに更新されます。
ドメインに参加するために必要な権限
状況に応じて、VMware Identity Manager コネクタをドメインに参加させる必要があります。LDAP ディ
レクトリ経由の Active Directory については、ディレクトリを作成した後でドメインを参加させることがで
きます。Active Directory(統合 Windows 認証)タイプのディレクトリについては、ディレクトリを作成
すると自動的にコネクタがドメインに参加します。いずれの場合も、証明書の入力を求められます。
コネクタをドメインに参加させるには、Active Directory の「AD ドメインにコンピュータを参加させる」
権限を含む証明書が必要です。これは、次の権限を使用して Active Directory に構成されます。
n コンピュータ オブジェクトの作成
n コンピュータ オブジェクトの削除
ドメインに参加すると、独自の OU を指定しない限り、Active Directory のデフォルトの場所にコンピュー
タ オブジェクトが作成されます。
ドメインに参加する権限がない場合は、これらのの手順に従ってドメインに参加します。
1 Active Directory 内で企業ポリシーで指定された場所にコンピュータ オブジェクトを作成するよう、
Active Directory の管理者に依頼します。コネクタのホスト名を指定します。必ず完全修飾ドメイン名
(例:server.example.com)を指定してください。
ヒント ホスト名は、管理コンソールの [コネクタ] ページで ホスト名 列に表示されます。[コネクタ]ページを表示するには、ID とアクセス管理 > セットアップ > コネクタ をクリックします。
2 コンピュータ オブジェクトが作成されたら、VMware Identity Manager 管理コンソールで任意のドメ
イン ユーザー アカウントを使用してドメインに参加させます。
コネクタ ページでは ドメインに参加 コマンドを使用できます。このページにアクセスするには、ID とア
クセス管理 > セットアップ > コネクタ をクリックします。
Installing and Configuring VMware Identity Manager
52 VMware, Inc.
オプション 説明
ドメイン 参加する Active Directory ドメインを選択または入力しま
す。必ず完全修飾ドメイン名を入力します。たとえば、
server.example.com のように指定します。
ドメイン ユーザー Active Directory ドメインにシステムを参加させる権限を
持つ Active Directory ユーザーの名前。
ドメイン パスワード ユーザーのパスワード。
組織単位 (OU) (オプション)コンピュータ オブジェクトの組織単位
(OU)。このオプションによって、デフォルトのコンピュー
タの OU ではなく、指定された OU にコンピュータ オブ
ジェクトが作成されます。
例、ou=testou,dc=test,dc=example,dc=com。
サービスへの Active Directory 接続の構成
管理コンソールで、Active Directory に接続するのに必要な情報を指定し、VMware Identity Manager ディ
レクトリと同期するユーザーおよびグループを選択します。
Active Directory では、LDAP 経由の Active Directory または Active Directory(統合 Windows 認証)の接
続オプションを使用できます。LDAP 経由の Active Directory 接続では、DNS サービス ロケーション ルッ
クアップがサポートされます。Active Directory(統合 Windows 認証)で、参加するドメインを構成しま
す。
開始する前に
n [ユーザー属性] ページで、必須の属性を選択し、必要に応じてその他の属性を追加します。ディレクト
リと同期する属性を選択する (P. 51)を参照してください。
重要 XenApp リソースと VMware Identity Manager の同期を計画している場合は、
distinguishedName を必須属性にする必要があります。この選択は、ディレクトリを作成する前に行
う必要があります。ディレクトリ作成後は属性を必須属性に変更できません。
n Active Directory から同期する Active Directory のグループとユーザーのリスト。
n LDAP 経由の Active Directory の場合、ベース DN、バインド DN、およびバインド DN パスワードな
どの情報が必要となります。
注意 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨しま
す。
n Active Directory(統合 Windows 認証)では、ドメインのバインド ユーザー UPN アドレスとパス
ワードなどの情報が必要となります。
注意 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨しま
す。
n Active Directory が SSL または STARTTLS 経由のアクセスを必要とする場合は、Active Directory ドメ
イン コントローラのルート CA 証明書が必要となります。
n Active Directory(統合 Windows 認証)では、マルチフォレスト Active Directory を構成しており、ド
メイン ローカル グループに異なるフォレストのドメインのメンバーが含まれる場合、バインド ユー
ザーをドメイン ローカル グループが存在するドメインの管理者グループに必ず追加してください。こ
れを行わなければ、これらのメンバーはドメイン ローカル グループに含まれません。
手順
1 管理コンソールで、ID とアクセス管理 タブをクリックします。
第 4 章 エンタープライズ ディレクトリとの統合
VMware, Inc. 53
2 [ディレクトリ] ページで、ディレクトリの追加 をクリックします。
3 この VMware Identity Manager ディレクトリの名前を入力します。
Installing and Configuring VMware Identity Manager
54 VMware, Inc.
4 環境内の Active Directory のタイプを選択して、接続情報を構成します。
オプション 説明
LDAP 経由の Active Directory a コネクタの同期 フィールドで、Active Directory との同期に使用する
コネクタを選択します。
b この Active Directory をユーザー認証に使用する場合は、認証 フィー
ルドで、はい をクリックします。
ユーザー認証にサードパーティの ID プロバイダが使用されている場
合、いいえ をクリックします。ユーザーとグループを同期するように
Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] >[ID プロバイダ] の順に移動して、認証に使用するサードパーティ IDプロバイダを追加します。
c ディレクトリ検索属性 フィールドで、ユーザー名を含むアカウント属
性を選択します。
d Active Directory が DNS サービス ロケーション ルックアップを使用
する場合は、次のように選択します。
n サービス ロケーション セクションで、このディレクトリ は DNSサービス ロケーションをサポートします チェックボックスを選択
します。
ディレクトリの作成時に、ドメイン コントローラのリストが自動
入力される domain_krb.properties ファイルが作成されます。
ドメイン コントローラの選択(domain_krb.properties ファイ
ル) (P. 47)を参照してください。
n Active Directory が STARTTLS 暗号化を必要とする場合は、証明
書 セクションの このディレクトリには SSL を使用するすべての
接続が必要です チェック ボックスを選択し、Active Directory のルート CA 証明書をコピーして SSL 証明書 フィールドにペースト
します。
証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「ENDCERTIFICATE」の行を含んでいることを確認します。
注意 Active Directory が STARTTLS を必要とする場合、証明書
がなければディレクトリを作成できません。
e Active Directory が DNS サービス ロケーション ルックアップを使用
しない場合は、次のように選択します。
n サービス ロケーション セクションで、このディレクトリ は DNSサービス ロケーションをサポートします チェックボックスが選択
されていないことを確認して、Active Directory サーバのホスト名
とポート番号を入力します。
グローバル カタログとしてディレクトリを構成するには、ActiveDirectory 環境 (P. 45)の「マルチ ドメイン、シングル フォレスト
の Active Directory 環境」セクションを参照してください。
n Active Directory が SSL 経由のアクセスを必要とする場合は、証
明書 セクションの このディレクトリには SSL を使用するすべて
の接続が必要です チェック ボックスを選択し、Active Directoryのルート CA 証明書をコピーして SSL 証明書 フィールドにペース
トします。
第 4 章 エンタープライズ ディレクトリとの統合
VMware, Inc. 55
オプション 説明
証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「ENDCERTIFICATE」の行を含んでいることを確認します。
注意 Active Directory が SSL を必要とする場合、証明書がなけれ
ばディレクトリを作成できません。
f ベース DN フィールドに、アカウント検索を開始する DN を入力しま
す。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力しま
す。
g バインド DN フィールドに、ユーザーを検索できるアカウントを入力
します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=comのように入力します。
注意 有効期限のないパスワードを持つバインド DN ユーザー アカウ
ントを使用することを推奨します。
h バインド パスワードを入力したら、接続をテスト をクリックして、
ディレクトリが Active Directory に接続できることを確認します。
Active Directory(統合 Windows 認証)
a コネクタの同期 フィールドで、Active Directory との同期に使用する
コネクタを選択します。
b この Active Directory をユーザー認証に使用する場合は、認証 フィー
ルドで、はい をクリックします。
ユーザー認証にサードパーティの ID プロバイダが使用されている場
合、いいえ をクリックします。ユーザーとグループを同期するように
Active Directory 接続を構成したら、[ID とアクセス管理] > [管理] >[ID プロバイダ] の順に移動して、認証に使用するサードパーティ IDプロバイダを追加します。
c ディレクトリ検索属性 フィールドで、ユーザー名を含むアカウント属
性を選択します。
d Active Directory が STARTTLS 暗号化を必要とする場合は、証明書 セクションの このディレクトリには STARTTLS を使用するすべての接
続が必要 チェック ボックスを選択し、Active Directory のルート CA証明書をコピーして SSL 証明書 フィールドにペーストします。
証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「ENDCERTIFICATE」の行を含んでいることを確認します。
ディレクトリに複数のドメインが含まれる場合は、ルート CA 証明書
をすべてのドメインに 1 つずつ追加していきます。
注意 Active Directory が STARTTLS を必要とする場合、証明書がな
ければディレクトリを作成できません。
e 参加する Active Directory ドメインの名前を入力します。ドメインへ
の参加権限を持つユーザーの名前とパスワードを入力します。詳細に
ついては、ドメインに参加するために必要な権限 (P. 52)を参照してく
ださい。
f [バインド ユーザー UPN] フィールドで、ドメインで認証できるユー
ザーの [ユーザー プリンシパル名] を入力します。たとえば、
[email protected] のように入力します。
注意 有効期限のないパスワードを持つバインド DN ユーザー アカウ
ントを使用することを推奨します。
g バインド ユーザーのパスワードを入力します。
5 保存して次へ をクリックします。
ドメイン リストのページが表示されます。
Installing and Configuring VMware Identity Manager
56 VMware, Inc.
6 LDAP 経由の Active Directory では、ドメインにチェック マークが付けられて表示されます。
[Active Directory(統合 Windows 認証)] で、この Active Directory 接続に関連付ける必要があるドメ
インを選択します。
注意 ディレクトリが作成された後に信頼するドメインを追加する場合、サービスは新規に追加された
ドメインを自動的に検出しません。サービスによるドメインの検出を有効にするには、コネクタをドメ
インから切り離してから、ドメインに再度参加させる必要があります。コネクタがドメインに再度参加
すると、信頼するドメインがリストに表示されます。
次へ をクリックします。
7 VMware Identity Manager ディレクトリの属性名が正しい Active Directory 属性にマッピングされてい
ることを確認し、必要に応じて変更して、次へ をクリックします。
8 Active Directory から VMware Identity Manager ディレクトリに同期するグループを選択します。
オプション 説明
グループ DN を指定 グループを選択するには、1 つ以上のグループ DN を指定して、配下にあ
るグループを選択します。
a + をクリックし、グループ DN を指定します。たとえば、
CN=users,DC=example,DC=company,DC=com のように入力します。
重要 入力したベース DN の配下にあるグループ DN を指定します。
グループ DN がベース DN に含まれない場合、その DN のユーザー
は、同期はされますがログインすることはできません。
b グループの検索 をクリックします。
同期するグループ 列には、DN に含まれるグループの数が表示されま
す。
c DN に含まれるすべてのグループを選択する場合は すべてを選択 をク
リックします。グループを個別に選択する場合は 選択 をクリック
し、同期対象となる特定のグループを選択します。
注意 グループを同期する際、Active Directory のプライマリ グループで
ある Domain Users に属していないユーザーの同期は行われません。
ネストされたグループ メンバーを同
期
ネストされたグループ メンバーを同期 オプションは、デフォルトで有効
になっています。このオプションが有効になっているときは、選択したグ
ループに直接属するすべてのユーザーと、その下にネストされたグループ
に属するすべてのユーザーが同期されます。ネストされたグループ自体は
同期されないことに注意してください。同期されるのは、ネストされたグ
ループに属するユーザーのみです。VMware Identity Manager ディレクト
リでは、これらのユーザーは同期対象として選択した親グループのメン
バーとなります。
ネストされたグループ メンバーを同期 オプションが無効になっている場
合、同期するグループを指定すると、そのグループに直接属するすべての
ユーザーが同期されます。その下のネストされたグループに属するユー
ザーは同期されません。グループ ツリーのスキャンに多くのリソースが消
費され時間がかかる大規模な Active Directory 構成では、このオプション
を無効にすると、時間を短縮できます。このオプションを無効にする場合
は、同期するユーザーが属するグループをすべて選択するようにしてくだ
さい。
9 次へ をクリックします。
第 4 章 エンタープライズ ディレクトリとの統合
VMware, Inc. 57
10 必要に応じて、同期するユーザーを追加で指定します。
a + をクリックし、ユーザー DN を入力します。たとえば、
CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。
重要 入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DNに含まれない場合、その DN のユーザーは、同期はされますがログインすることはできません。
b (オプション)ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成しま
す。
フィルタリングの基準となるユーザー属性、クエリ ルールおよび値を選択します。
11 次へ をクリックします。
12 ページを確認して、ディレクトリに同期するユーザーとグループの数や、同期スケジュールを確認しま
す。
ユーザーとグループや、同期の頻度に変更を加えるには、編集 リンクをクリックします。
13 ディレクトリを同期 をクリックして、ディレクトリとの同期を開始します。
Active Directory への接続が確立され、ユーザーとグループは Active Directory から
VMware Identity Manager ディレクトリに同期されます。バインド DN ユーザーは、デフォルトで
VMware Identity Manager の管理者ロールを持っています。
次に進む前に
n DNS サービス ロケーションをサポートするディレクトリを作成した場合は、domain_krb.properties
ファイルが作成され、ドメイン コントローラのリストがこのファイルに自動的に入力されています。
ファイルを表示して、ドメイン コントローラのリストの確認や編集を行います。ドメイン コントロー
ラの選択(domain_krb.properties ファイル) (P. 47)を参照してください。
n 認証方法をセットアップします。コネクタを認証にも使用している場合、ユーザーとグループがディレ
クトリに同期された後で、追加のコネクタ認証をセットアップできます。サードパーティの認証 ID プロバイダを使用している場合は、コネクタでその ID プロバイダを構成します。
n デフォルトのアクセス ポリシーを確認します。デフォルトのアクセス ポリシーでは、すべてのネット
ワーク範囲にあるすべてのアプライアンスに対し、Web ブラウザへのアクセスには 8 時間のセッショ
ン タイムアウト、クライアント アプリケーションへのアクセスには 2,160 時間(90 日間)のセッショ
ン タイムアウトが設定されています。デフォルトのアクセス ポリシーは変更できます。また、Web アプリケーションをカタログに追加するときに、新しいアクセス ポリシーを作成することができます。
n 管理コンソール、ユーザー ポータル ページおよびログイン画面にカスタム ブランディングを適用しま
す。
Active Directory パスワードの変更をユーザーに許可する
Workspace ONE ポータルまたはアプリケーションから、いつでも Active Directory のパスワードを変更す
ることをユーザに許可できます。パスワードの有効期限が切れた場合、または Active Directory 管理者がパ
スワードをリセットし、次回のログインでパスワードの変更をユーザーに要求する場合、ユーザーは
VMware Identity Manager ログイン ページから Active Directory パスワードをリセットすることもできま
す。
[ディレクトリの設定] ページの パスワードの変更を許可 オプションを選択することによって、このオプ
ションをディレクトリ単位で有効にします。
ユーザーは、右上隅にある名前をクリックし、ドロップダウン メニューから アカウント を選択し、パス
ワードの変更 リンクをクリックして、Workspace ONE ポータルにログインするときのパスワードを変更で
きます。Workspace ONE アプリケーションでは、3 つの棒のメニュー アイコンをクリックし、パスワード
を選択して、パスワードを変更できます。
Installing and Configuring VMware Identity Manager
58 VMware, Inc.
有効期限が切れたパスワードまたは管理者によってリセットされた Active Directory のパスワードは、ログ
イン ページから変更できます。ユーザーが有効期限の切れたパスワードを使用してログインしようとする
と、パスワードをリセットするように要求されます。ユーザーは新しいパスワードと古いパスワードの両方
を入力する必要があります。
新しいパスワードの要件は、Active Directory パスワード ポリシーによって決定されます。また、許可され
るパスワード入力の試行回数も、Active Directory パスワード ポリシーによって決定されます。
以下の制約が適用されます。
n 別のスタンドアロン コネクタ仮想アプライアンスを使用する場合、パスワードの変更を許可 オプショ
ンは、コネクタ バージョン 2016.11.1 以降でのみ使用できます。
n ディレクトリを VMware Identity Manager にグローバル カタログとして追加した場合、パスワードの
変更を許可 オプションは利用できません。ディレクトリは、LDAP 経由の Active Directory または統
合 Windows 認証として、ポート 389 または 636 を使用して追加できます。
n バインド DN ユーザーのパスワードは、有効期限が切れた場合、または Active Directory 管理者がリ
セットした場合でも、VMware Identity Manager からリセットすることはできません。
注意 有効期限のないパスワードを持つバインド DN ユーザー アカウントを使用することを推奨しま
す。
n ログイン名がマルチバイト文字(非 ASCII 文字)から成るユーザーのパスワードは、
VMware Identity Manager からリセットすることができません。
開始する前に
n ポート 464 が VMware Identity Manager からドメイン コントローラに開いている必要があります。
手順
1 管理コンソールで、ID とアクセス管理 タブをクリックします。
2 ディレクトリ タブで、ディレクトリをクリックします。
3 パスワードの変更を許可 セクションで、パスワードの変更を有効にする チェックボックスを選択しま
す。
4 バインド ユーザーの詳細 セクションにバインド DN パスワードを入力し、保存 をクリックします。
LDAP ディレクトリとの連携
エンタープライズ LDAP ディレクトリと VMware Identity Manager を連携して、ユーザーとグループを
LDAP ディレクトリから VMware Identity Manager サービスに同期することができます。
ディレクトリ統合に関連する重要な概念 (P. 43)も参照してください。
LDAP ディレクトリ統合の制限
LDAP ディレクトリの統合機能には現在次の制限が適用されます。
n 単一ドメインの LDAP ディレクトリ環境のみを統合することができます。
LDAP ディレクトリから複数のドメインを統合するには、ドメインごとに追加の
VMware Identity Manager ディレクトリを 1 つずつ作成する必要があります。
n VMware Identity Manager ディレクトリのタイプが LDAP ディレクトリの場合、次の認証方法はサ
ポートされません。
n Kerberos 認証
n RSA Adaptive Authentication
n サードパーティ ID プロバイダとしての ADFS
第 4 章 エンタープライズ ディレクトリとの統合
VMware, Inc. 59
n SecurID
n Vasco および SMS パスコード サーバによる Radius 認証
n LDAP ドメインに参加することはできません。
n VMware Identity Manager ディレクトリのタイプが LDAP ディレクトリの場合、View または Citrix 公開リソースとの統合はサポートされません。
n ユーザー名にスペースを含めることはできません。ユーザー名にスペースが含まれていると、ユーザー
は同期されますが、資格を利用できません。
n Active Directory と LDAP ディレクトリの両方を追加する計画の場合は、必須のマークを付けることが
できる userName を除いて、[ユーザー属性] ページで属性には必須のマークが付いていないことを確
認してください。[ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されます。属
性に必須のマークが付いている場合は、その属性を持たないユーザーは VMware Identity Managerサービスに同期されません。
n LDAP ディレクトリに同じ名前のグループが複数ある場合は、VMware Identity Manager サービスで
グループに一意の名前を指定する必要があります。 同期するグループを選択するときに名前を指定す
ることができます。
n ユーザーが有効期限の切れたパスワードをリセットするオプションは利用できません。
n domain_krb.properties ファイルはサポートされません。
LDAP ディレクトリとサービスの統合
エンタープライズ LDAP ディレクトリと VMware Identity Manager を連携して、ユーザーとグループを
LDAP ディレクトリから VMware Identity Manager サービスに同期することができます。
LDAP ディレクトリを統合するには、対応する VMware Identity Manager ディレクトリを作成し、ユー
ザーとグループを LDAP ディレクトリから VMware Identity Manager ディレクトリに同期します。後続の
更新のために定期的な同期スケジュールを設定することができます。
また、ユーザーのために同期させる LDAP 属性を選択し、VMware Identity Manager 属性にマップしま
す。
LDAP ディレクトリ構成はデフォルトのスキーマをベースにすることができますが、カスタムのスキーマ
を作成することもできます。また、カスタムの属性を定義することもできます。VMware Identity Managerで、LDAP ディレクトリを検索してユーザーまたはグループ オブジェクトを取得できるようにするには、
LDAP ディレクトリに適用可能な LDAP 検索フィルタおよび属性名を指定する必要があります。
具体的には、次の情報を指定する必要があります。
n グループ、ユーザーおよびバインド ユーザーを取得するための LDAP 検索フィルタ
n グループ メンバーシップ、UUID および識別名のための LDAP 属性名
LDAP ディレクトリの統合機能には特定の制限が適用されます。LDAP ディレクトリ統合の制限 (P. 59)を参
照してください。
開始する前に
n 別の外部のコネクタ仮想アプライアンスを使用する場合、LDAP ディレクトリを統合する機能は、コ
ネクタ バージョン 2016.6.1 以降でのみ使用できます。
Installing and Configuring VMware Identity Manager
60 VMware, Inc.
n ID とアクセス管理 > セットアップ > ユーザー属性 ページの属性を確認し、同期する属性を追加しま
す。これらの VMware Identity Manager 属性は、後で LDAP ディレクトリを作成するときに、LDAPディレクトリ属性にマッピングします。これらの属性はディレクトリ内のユーザーに対して同期されま
す。
注意 ユーザー属性を変更する場合は、サービスの他のディレクトリに対する影響を考慮してくださ
い。Active Directory と LDAP ディレクトリの両方を追加する計画の場合は、必須のマークを付けるこ
とができる userName を除いて、属性には必須のマークが付いていないことを確認してください。
[ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されます。属性に必須のマーク
が付いている場合は、その属性を持たないユーザーは VMware Identity Manager サービスに同期され
ません。
n バインド DN ユーザー アカウント。有効期限のないパスワードを持つバインド DN ユーザー アカウン
トを使用することを推奨します。
n LDAP ディレクトリでは、ユーザーとグループの UUID はプレーン テキスト形式である必要がありま
す。
n LDAP ディレクトリには、すべてのユーザーおよびグループに対するドメイン属性が存在する必要が
あります。
VMware Identity Manager ディレクトリを作成するときは、この属性を VMware Identity Manager のdomain 属性にマップします。
n ユーザー名にスペースを含めることはできません。ユーザー名にスペースが含まれていると、ユーザー
は同期されますが、資格を利用できません。
n 証明書認証を使用する場合、ユーザーは userPrincipalName とメール アドレス属性の値を持っている
必要があります。
手順
1 管理コンソールで、ID とアクセス管理 タブをクリックします。
2 [ディレクトリ] ページで、ディレクトリを追加 をクリックして LDAP ディレクトリを追加 を選択しま
す。
第 4 章 エンタープライズ ディレクトリとの統合
VMware, Inc. 61
3 [LDAP ディレクトリを追加] ページに必要な情報を入力します。
オプション 説明
ディレクトリ名 VMware Identity Manager ディレクトリの名前。
ディレクトリの同期と認証 a コネクタを同期 フィールドで、LDAP ディレクトリから
VMware Identity Manager ディレクトリにユーザーとグループを同期
するためのコネクタを選択します。
コネクタ コンポーネントは、デフォルトでは
VMware Identity Manager サービスで常に利用できます。このコネク
タは、ドロップダウン リストに表示されます。高可用性を実現するた
めに複数の VMware Identity Manager アプライアンスを展開すると、
それぞれのコネクタ コンポーネントがリストに表示されます。
LDAP ディレクトリ用の個別のコネクタは必要ありません。コネクタ
は、Active Directory であるか LDAP ディレクトリであるかにかかわ
らず複数のディレクトリをサポートすることができます。
追加のコネクタが必要なシナリオについては、『VMware IdentityManager インストール ガイド』の「追加コネクタ アプライアンスのイ
ンストール」を参照してください。
b この LDAP ディレクトリを使用してユーザー認証を行う場合は、認証
フィールドで はい を選択します。
サードパーティの ID プロバイダを使用してユーザーを認証する場合
は、いいえ を選択します。ユーザーとグループを同期するようにディ
レクトリ接続を追加したら、ID とアクセス管理 > 管理 > ID プロバイ
ダ ページの順に移動して、認証に使用するサードパーティの ID プロ
バイダを追加します。
c ディレクトリ検索属性 フィールドで、ユーザー名に使用する LDAPディレクトリ属性を指定します。属性が表示されない場合は、カスタ
ム を選択して、属性名を入力します。たとえば、cn にように入力し
ます。
サーバの場所 LDAP ディレクトリ サーバのホスト名とポート番号を入力します。サー
バ ホストには、完全修飾ドメイン名または IP アドレスのいずれかを指定
することができます。たとえば、myLDAPserver.example.com または
100.00.00.0 のように入力します。
ロード バランサの背後にサーバのクラスタがある場合は、代わりにロード
バランサの情報を入力します。
Installing and Configuring VMware Identity Manager
62 VMware, Inc.
オプション 説明
LDAP 構成 VMware Identity Manager が LDAP ディレクトリのクエリに使用するこ
とができる LDAP 検索フィルタおよび属性を指定します。デフォルト値
はコア LDAP スキーマに基づいて提供されます。
LDAP クエリ
n グループの取得:グループ オブジェクトを取得するための検索フィル
タ。
例:(objectClass=group)
n バインド ユーザーの取得:バインド ユーザー オブジェクト、つまり
ディレクトリにバインドすることができるユーザーを取得するための
検索フィルタ。
例:(objectClass=person)
n ユーザーの取得:同期するユーザーを取得するための検索フィルタ。
例:(&(objectClass=user)(objectCategory=person))
属性
n メンバーシップ:グループのメンバーを定義するために LDAP ディレ
クトリで使用される属性。
例:member
n オブジェクト UUID:ユーザーまたはグループの UUID を定義するた
めに LDAP ディレクトリで使用される属性。
例:entryUUID
n 識別名:LDAP ディレクトリでユーザーまたはグループの識別名に使
用される属性。
例:entryDN
証明書 LDAP ディレクトリが SSL 経由のアクセスを必要とする場合は、このディ
レクトリには SSL を使用するすべての接続が必要です を選択し、LDAPディレクトリ サーバのルート CA SSL 証明書をコピーして貼り付けます。
証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「ENDCERTIFICATE」の行を含んでいることを確認します。
バインド ユーザーの詳細 ベース DN:検索を開始する DN を入力します。たとえば、
cn=users,dc=example,dc=com のように入力します。
バインド DN:LDAP ディレクトリにバインドするために使用するユー
ザー名を入力します。
注意 有効期限のないパスワードを持つバインド DN ユーザー アカウント
を使用することを推奨します。
バインド DN パスワード:バインド DN ユーザーのパスワードを入力し
ます。
4 LDAP ディレクトリ サーバへの接続をテストするには、接続をテスト をクリックします。
接続に成功しない場合は、入力した情報を確認して、適切な変更を行います。
5 保存して次へ をクリックします。
6 [ドメイン] ページで、正しいドメインがリストされることを確認し、次へ をクリックします。
7 [属性をマップ] ページで、VMware Identity Manager 属性が正しい LDAP 属性にマップされているこ
とを確認します。
重要 domain 属性のマッピングを指定する必要があります
属性は [ユーザー属性] ページからリストに追加することができます。
8 次へ をクリックします。
第 4 章 エンタープライズ ディレクトリとの統合
VMware, Inc. 63
9 グループのページで、+ をクリックして、LDAP ディレクトリから VMware Identity Manager ディレ
クトリに同期するグループを選択します。
LDAP ディレクトリに同じ名前のグループが複数ある場合は、グループ ページ内でグループに一意の
名前を指定する必要があります。
ネストされたグループ ユーザーの同期 オプションは、デフォルトで有効になっています。このオプ
ションが有効になっているときは、選択したグループに直接属するすべてのユーザーと、その下にネス
トされたグループに属するすべてのユーザーが同期されます。ネストされたグループ自体は同期されな
いことに注意してください。同期されるのは、ネストされたグループに属するユーザーのみです。
VMware Identity Manager ディレクトリでは、これらのユーザーは同期対象として選択したトップレ
ベルのグループのメンバーとして表示されます。実際には、選択されたグループの階層がフラット化さ
れ、すべてのレベルのユーザーが選択されたグループのメンバーとして VMware Identity Manager に表示されます。
このオプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属する
すべてのユーザーが同期されます。その下のネストされたグループに属するユーザーは同期されませ
ん。グループ ツリーのスキャンに多くのリソースが消費され時間がかかる大規模なディレクトリ構成
では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同
期するユーザーが属するグループをすべて選択するようにしてください。
10 次へ をクリックします。
11 + をクリックして、別のユーザーを追加します。たとえば、
CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com と入力します。
ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。フィルタリング
の基準となるユーザー属性、クエリ ルールおよび値を選択します。
次へ をクリックします。
12 ディレクトリに同期するユーザーとグループの数や、デフォルトの同期スケジュールをページで確認し
ます。
ユーザーとグループや、同期の頻度に変更を加えるには、編集 リンクをクリックします。
13 ディレクトリを同期 をクリックして、ディレクトリ同期を開始します。
LDAP ディレクトリへの接続が確立され、ユーザーとグループは LDAP ディレクトリから
VMware Identity Manager ディレクトリに同期されます。バインド DN ユーザーは、デフォルトで
VMware Identity Manager の管理者ロールを持っています。
フェイルオーバーと冗長性を構成してからディレクトリを追加
クラスタを展開して高可用性構成を実現した後に、新規ディレクトリを VMware Identity Manager サービ
スに追加し、さらに高可用性構成の新規ディレクトリ部分を構築する場合は、クラスタ内のすべてのアプラ
イアンスにディレクトリを追加する必要があります。
これを実行するには、各サービス インスタンスのコネクタ コンポーネントを新規ディレクトリに追加しま
す。
手順
1 VMware Identity Manager の管理コンソールにログインします。
2 ID とアクセス管理 タブを選択してから、ID プロバイダ タブを選択します。
3 [ID プロバイダ] ページで、新規ディレクトリの ID プロバイダを見つけ、その ID プロバイダ名をク
リックします。
4 IdP ホスト名 フィールドで、正しいロード バランサの FQDN が設定されていない場合は、ロード バランサの FQDN を入力します。
Installing and Configuring VMware Identity Manager
64 VMware, Inc.
5 コネクタ フィールドで、追加するコネクタを選択します。
6 パスワードを入力し、保存 をクリックします。
7 [ID プロバイダ] ページで、ID プロバイダ名をもう一度クリックし、IdP ホスト名 フィールドに正しい
ホスト名が表示されていることを確認します。IdP ホスト名 フィールドには、ロード バランサの
FQDN が表示されます。名前が正しくない場合は、ロード バランサの FQDN を入力して 保存 をク
リックします。
8 これまでの手順を繰り返して、コネクタ フィールドに表示されているすべてのコネクタを追加しま
す。
注意 コネクタを追加するたびに、手順 7 で説明しているように IdP ホスト名を確認し、必要な場合は
修正します。
これで、環境内のすべてのコネクタにディレクトリが関連付けられました。
第 4 章 エンタープライズ ディレクトリとの統合
VMware, Inc. 65
Installing and Configuring VMware Identity Manager
66 VMware, Inc.
ローカル ディレクトリの使用 5ローカル ディレクトリは、VMware Identity Manager サービスで作成できるディレクトリ タイプの 1 つで
す。ローカル ディレクトリでは、サービスでローカル ユーザーをプロビジョニングしたり、エンタープラ
イズ ディレクトリにユーザーを追加することなく、特定のアプリケーションに対するアクセス権限をロー
カル ユーザーに付与したりできます。ローカル ディレクトリは、エンタープライズ ディレクトリには接続
していないため、ユーザーおよびグループはエンタープライズ ディレクトリと同期されません。その代わ
りに、ローカル ディレクトリにローカル ユーザーを直接作成します。
サービスでは、システム ディレクトリというデフォルトのローカル ディレクトリを利用できます。また、
複数の新しいローカル ディレクトリを作成できます。
システム ディレクトリ
システム ディレクトリは、サービスを 初にセットアップするときにサービスで自動的に作成されるロー
カル ディレクトリです。このディレクトリには、システム ドメインというドメインが関連付けられます。
システム ディレクトリの名前やドメインを変更したり、新しいドメインをシステム ディレクトリに追加す
ることはできません。また、システム ディレクトリやシステム ドメインを削除することもできません。
VMware Identity Manager アプライアンスを 初にセットアップするときに作成されたローカル管理者
ユーザーは、システム ディレクトリのシステム ドメインで作成されます。
システム ディレクトリに別のユーザーを追加できます。通常、システム ディレクトリは、サービスを管理
する数名のローカル管理者ユーザーを設定するために使用されます。エンド ユーザーと追加の管理者をプ
ロビジョニングし、アプリケーションに対する資格を付与するには、新しいローカル ディレクトリを作成
することをお勧めします。
ローカル ディレクトリ
複数のローカル ディレクトリを作成できます。各ローカル ディレクトリには、1 つ以上のドメインを関連
付けることができます。ローカル ユーザーを作成するときに、そのユーザーのディレクトリとドメインを
指定します。
また、ローカル ディレクトリ内のすべてのユーザーの属性を選択できます。userName、lastName、およ
び firstName などのユーザー属性は、VMware Identity Manager サービスにおいてグローバル レベルで指
定されます。属性のデフォルトのリストが利用可能であり、独自の属性を追加できます。グローバル ユー
ザー属性は、ローカル ディレクトリを含むサービスにあるすべてのディレクトリに適用されます。ローカ
ル ディレクトリ レベルでは、ディレクトリで必須にする属性を選択できます。これにより、異なるローカ
ル ディレクトリに独自の属性セットを関連付けることができます。userName、lastName、firstName、お
よび email は、ローカル ディレクトリでは常に必須です。
注意 ディレクトリ レベルでユーザー属性をカスタマイズする機能は、Active Directory または LDAP ディ
レクトリでは使用できず、ローカル ディレクトリでのみ使用できます。
VMware, Inc. 67
ローカル ディレクトリを作成すると、次のようなシナリオで役立ちます。
n エンタープライズ ディレクトリに含まれない特定の種類のユーザーに対してローカル ディレクトリを
作成できます。たとえば、通常、パートナーはエンタープライズ ディレクトリに含まれませんが、
パートナー向けにローカル ディレクトリを作成し、必要な特定のアプリケーションだけに対してアク
セス権を付与できます。
n 異なるユーザー セットに対して、異なるユーザー属性または認証方法を使用する場合は、複数のロー
カル ディレクトリを作成できます。たとえば、あるローカル ディレクトリを地域や市場規模などの
ユーザー属性を持つディストリビュータ向けに作成し、別のローカル ディレクトリを製品カテゴリや
サプライヤの種類などのユーザー属性を持つサプライヤ向けに作成することができます。
システム ディレクトリとローカル ディレクトリの ID プロバイダ
デフォルトでは、システム ディレクトリは、システム ID プロバイダという名前の ID プロバイダに関連付
けられています。パスワード(クラウド ディレクトリ)による認証方法は、この ID プロバイダでデフォル
トで有効にされ、すべての範囲の (ALL RANGES) のネットワークと Web ブラウザ デバイス タイプの
default_access_policy_set ポリシーに適用されます。別の認証方法を構成して、認証ポリシーを設定できま
す。
新しいローカル ディレクトリを作成するときに、ID プロバイダはそのディレクトリに関連付けられませ
ん。ディレクトリを作成した後、タイプが組み込みの新しい ID プロバイダを作成し、ディレクトリと関連
付けます。ID プロバイダでパスワード(クラウド ディレクトリ)による認証方法を有効にします。複数の
ローカル ディレクトリを同一の ID プロバイダと関連付けることができます。
システム ディレクトリまたは作成したローカル ディレクトリのいずれにも VMware Identity Manager コネ
クタは必要ありません。
詳細については、『VMware Identity Manager 管理ガイド』の「VMware Identity Manager でのユーザー認
証の構成」を参照してください。
ローカル ディレクトリ ユーザーのパスワード管理
デフォルトでは、ローカル ディレクトリのすべてのユーザーが、Workspace ONE ポータルまたはアプリ
ケーションでパスワードを変更できます。ローカル ユーザーのパスワード ポリシーを設定できます。ま
た、必要に応じてローカル ユーザーのパスワードをリセットできます。
ユーザーは、右上隅にある名前をクリックし、ドロップダウン メニューから アカウント を選択し、パス
ワードの変更 リンクをクリックして、Workspace ONE ポータルにログインするときのパスワードを変更で
きます。Workspace ONE アプリケーションでは、3 つの棒のメニュー アイコンをクリックし、パスワード
を選択して、パスワードを変更できます。
パスワード ポリシーの設定およびローカル ユーザー パスワードのリセットについては、『VMware IdentityManager 管理ガイド』の「ユーザーおよびグループの管理」を参照してください。
この章では次のトピックについて説明します。
n ローカル ディレクトリの作成 (P. 68)
n ローカル ディレクトリ設定の変更 (P. 73)
n ローカル ディレクトリの削除 (P. 74)
ローカル ディレクトリの作成
ローカル ディレクトリを作成するには、ディレクトリ用のユーザー属性を指定し、ディレクトリを作成し
て、ID プロバイダで特定します。
Installing and Configuring VMware Identity Manager
68 VMware, Inc.
1 グローバル レベルでのユーザー属性の設定 (P. 69)ローカル ディレクトリを作成する前に、[ユーザー属性] ページでグローバル ユーザー属性を確認し、
必要に応じてカスタム属性を追加します。
2 ローカル ディレクトリの作成 (P. 70)グローバル ユーザー属性を確認および設定したら、ローカル ディレクトリを作成します。
3 ローカル ディレクトリと ID プロバイダの関連付け (P. 72)ローカル ディレクトリを ID プロバイダと関連付け、そのディレクトリのユーザーを認証できるよう
にします。タイプが組み込みの新しい ID プロバイダを作成し、そこでパスワード(ローカル ディレ
クトリ)による認証方法を有効にします。
グローバル レベルでのユーザー属性の設定
ローカル ディレクトリを作成する前に、[ユーザー属性] ページでグローバル ユーザー属性を確認し、必要
に応じてカスタム属性を追加します。
firstName、lastName、email、domain などのユーザー属性はユーザー プロファイルに含まれます。
VMware Identity Manager サービスでは、ユーザー属性はグローバル レベルで定義され、ローカル ディレ
クトリを含む、サービスのすべてのディレクトリに適用されます。ローカル ディレクトリ レベルでは、そ
のローカル ディレクトリのユーザーに対して属性が必須か任意かの指定を上書きできますが、カスタム属
性を追加することはできません。属性が必須である場合、ユーザーを作成する際にその属性に値を設定する
必要があります。
カスタム属性を作成するときは、次の語句は使用できません。
表 5‑1. カスタム属性の名前に使用できない語句
active addresses costCenter
department displayName division
emails employeeNumber entitlements
externalId groups id
ims locale manager
meta name nickName
organization password phoneNumber
photos preferredLanguage profileUrl
roles timezone title
userName userType x509Certificate
注意 ディレクトリ レベルでユーザー属性をオーバーライドする機能は、Active Directory または LDAPディレクトリには適用されず、ローカル ディレクトリにのみ適用できます。
手順
1 管理コンソールで、ID とアクセス管理 タブをクリックします。
2 セットアップ をクリックし、ユーザー属性 タブをクリックします。
3 ユーザー属性のリストを確認し、必要に応じて属性を追加します。
注意 このページでは必須にする属性を選択できますが、ローカル ディレクトリに対する設定はローカ
ル ディレクトリ レベルで行うことをお勧めします。このページで属性を必須に指定すると、ActiveDirectory や LDAP ディレクトリを含む、サービスのすべてのディレクトリに適用されます。
4 保存 をクリックします。
第 5 章 ローカル ディレクトリの使用
VMware, Inc. 69
次に進む前に
ローカル ディレクトリを作成します。
ローカル ディレクトリの作成
グローバル ユーザー属性を確認および設定したら、ローカル ディレクトリを作成します。
手順
1 管理コンソールで、ID とアクセス管理 タブをクリックしてから、ディレクトリ タブをクリックしま
す。
2 ディレクトリを追加 をクリックし、ドロップダウン メニューから ローカル ユーザー ディレクトリを
追加 を選択します。
3 [ディレクトリを追加] ページでディレクトリ名を入力し、少なくとも 1 つのドメイン名を指定します。
ドメイン名は、サービスのすべてのディレクトリにおいて一意である必要があります。
例:
Installing and Configuring VMware Identity Manager
70 VMware, Inc.
4 保存 をクリックします。
5 [ディレクトリ] ページで、新しいディレクトリをクリックします。
6 ユーザー属性 タブをクリックします。
[ID とアクセス管理] > [セットアップ] > [ユーザー属性] ページのすべての属性が、ローカル ディレクト
リに表示されます。そのページで必須とマークされている属性は、ローカル ディレクトリ ページでも
必須として表示されます。
7 ローカル ディレクトリの属性をカスタマイズします。
必須およびオプションの属性を指定できます。また、属性の表示順序を変更できます。
重要 userName、firstName、lastName、および email の各属性は、ローカル ディレクトリでは常に
必須です。
n 属性を必須にするには、属性名の横にあるチェック ボックスを選択します。
n 属性をオプションにするには、属性名の横にあるチェック ボックスを選択解除します。
n 属性の順序を変更するには、属性をクリックして新しい位置にドラッグします。
属性が必須である場合、ユーザーを作成するときに、その属性の値を指定する必要があります。
例:
第 5 章 ローカル ディレクトリの使用
VMware, Inc. 71
8 保存 をクリックします。
次に進む前に
ローカル ディレクトリを任意の ID プロバイダに関連付けて、ディレクトリ内のユーザーの認証に使用でき
ます。
ローカル ディレクトリと ID プロバイダの関連付け
ローカル ディレクトリを ID プロバイダと関連付け、そのディレクトリのユーザーを認証できるようにしま
す。タイプが組み込みの新しい ID プロバイダを作成し、そこでパスワード(ローカル ディレクトリ)によ
る認証方法を有効にします。
注意 組み込みの ID プロバイダを使用しないでください。組み込みの ID プロバイダでパスワード(ローカ
ル ディレクトリ)による認証方法を有効にすることはお勧めしません。
手順
1 ID とアクセス管理 タブで、ID プロバイダ タブをクリックします。
2 ID プロバイダを追加 をクリックして、組み込み IDP を作成 を選択します。
3 以下の情報を入力します。
オプション 説明
ID プロバイダ名 ID プロバイダの名前を入力します。
ユーザー 作成したローカル ディレクトリを選択します。
ネットワーク この ID プロバイダにアクセス可能なネットワークを選択します。
認証方法 パスワード(ローカル ディレクトリ)を選択します。
KDC 証明書のエクスポート AirWatch により管理される iOS デバイスに対しモバイル SSO を構成して
いない限り、証明書をダウンロードする必要はありません。
Installing and Configuring VMware Identity Manager
72 VMware, Inc.
4 追加 をクリックします。
ID プロバイダが作成され、ローカル ディレクトリと関連付けられます。後で ID プロバイダでその他の認
証方法を構成できます。認証の詳細については、『VMware Identity Manager の管理』の「VMware IdentityManager でのユーザー認証の構成」を参照してください。
同一の ID プロバイダを複数のローカル ディレクトリに使用できます。
次に進む前に
ローカル ユーザーとローカル グループを作成します。管理コンソールの ユーザーとグループ タブで、ロー
カル ユーザーとローカル グループを作成します。詳細については、『VMware Identity Manager 管理ガイ
ド』の「ユーザーおよびグループの管理」を参照してください。
ローカル ディレクトリ設定の変更
ローカル ディレクトリの作成後は、いつでも設定を変更できます。
次の設定を変更できます。
n ディレクトリ名を変更します。
n ドメインの追加、削除、または名前の変更を行います。
n ドメイン名は、サービスのすべてのディレクトリにおいて一意である必要があります。
n ドメイン名を変更すると、古いドメインに関連付けられていたユーザーは新しいドメインに関連付
けられます。
n ディレクトリには少なくとも 1 つのドメインを含める必要があります。
n システム ディレクトリにドメインを追加したり、システム ドメインを削除したりすることはでき
ません。
n 新しいユーザー属性を追加したり、既存の属性に必須や任意の指定を行ったりします。
n ローカル ディレクトリにまだユーザーが作成されていない場合は、新しい属性を任意または必須
として設定したり、既存の属性の設定を任意または必須に変更したりできます。
n ローカル ディレクトリにすでにユーザーが作成されている場合は、新しい属性は任意指定の属性
としてのみ追加できます。また、既存の属性は必須から任意に変更できます。ユーザーの作成後
に、任意指定の属性を必須に変更することはできません。
第 5 章 ローカル ディレクトリの使用
VMware, Inc. 73
n userName、firstName、lastName、および email の各属性は、ローカル ディレクトリでは常に必
須です。
n VMware Identity Manager サービスではユーザー属性がグローバル レベルで定義されているた
め、新しい属性を追加すると、サービスのすべてのディレクトリに表示されます。
n 属性の表示順序を変更します。
手順
1 ID とアクセス管理 タブをクリックします。
2 [ディレクトリ] ページで、編集するディレクトリをクリックします。
3 ローカル ディレクトリの設定を編集します。
オプション 操作
ディレクトリ名を変更する a 設定 タブで、ディレクトリ名を変更します。
b 保存 をクリックします。
ドメインの追加、削除、または名前の
変更を行う
a 設定 タブで、ドメイン リストを編集します。
b ドメインを追加するには、緑色のプラス アイコンをクリックします。
c ドメインを削除するには、赤色の削除アイコンをクリックします。
d ドメインの名前を変更するには、テキスト ボックスでドメイン名を編
集します。
ディレクトリにユーザー属性を追加す
る
a ID とアクセス管理 タブをクリックし、続いて セットアップ をクリッ
クします。
b ユーザー属性 タブをクリックします。
c 使用するその他の属性を追加 リストに属性を追加し、保存 をクリッ
クします。
ディレクトリで属性を必須または任意
に設定する
a ID とアクセス管理 タブで、ディレクトリ タブをクリックします。
b ローカル ディレクトリ名をクリックし、ユーザー属性 タブをクリッ
クします。
c 属性の隣のチェック ボックスを選択すると属性が必須になり、チェッ
ク ボックスを選択解除すると属性が任意になります。
d 保存 をクリックします。
属性の順序を変更する a ID とアクセス管理 タブで、ディレクトリ タブをクリックします。
b ローカル ディレクトリ名をクリックし、ユーザー属性 タブをクリッ
クします。
c 属性をクリックして新しい位置にドラッグします。
d 保存 をクリックします。
ローカル ディレクトリの削除
VMware Identity Manager サービスで作成したローカル ディレクトリを、削除できます。サービスの初回
セットアップ時にデフォルトで作成された、システム ディレクトリを削除することはできません。
注意 ディレクトリを削除すると、ディレクトリ内のすべてのユーザーもシステムから削除されます。
手順
1 ID とアクセス管理 タブをクリックしてから、ディレクトリ タブをクリックします。
2 削除するディレクトリをクリックします。
3 [ディレクトリ] ページで、ディレクトリの削除 をクリックします。
Installing and Configuring VMware Identity Manager
74 VMware, Inc.
VMware Identity Manager アプライアンスの詳細構成 6
VMware Identity Manager 仮想アプライアンスの基本インストールを完了したら、
VMware Identity Manager への外部アクセスの有効化や冗長性の構成など、その他の構成タスクの完了が
必要になる場合があります。
VMware Identity Manager アーキテクチャ図は、VMware Identity Manager 環境を展開する方法を示して
います。 標準的な展開については、第 1 章 VMware Identity Manager のインストールの準備 (P. 9)を参照し
てください。
この章では次のトピックについて説明します。
n ロード バランサまたはリバース プロキシを使用して、VMware Identity Manager への外部アクセス
を有効にする (P. 75)
n 単一のデータセンターにおけるフェイルオーバーと冗長性の構成 (P. 79)
n フェイルオーバーと冗長化のためのセカンダリ データセンターへの VMware Identity Manager の展
開 (P. 87)
ロード バランサまたはリバース プロキシを使用して、VMware Identity Manager への外部アクセスを有効にする
展開時に、内部ネットワーク内に VMware Identity Manager 仮想アプライアンスがセットアップされま
す。ネットワークの外側から接続するユーザーがサービスにアクセスできるようにする場合は、Apache、nginx、F5 などのロード バランサまたはリバース プロキシを DMZ にインストールする必要があります。
ロード バランサまたはリバース プロキシを使用しない場合、VMware Identity Manager アプライアンスの
数を後で増やすことはできません。冗長性やロード バランスを実現するために、アプライアンスの追加が
必要になる可能性があります。下記の図に、外部アクセスを有効するために使用できる、基本展開アーキテ
クチャを示します。
VMware, Inc. 75
図 6‑1. 外部ロード バランサ プロキシと仮想マシン
仮想アプライアンス
内部ユーザー
外部ユーザー
DMZ ファイアウォール
ポート 443 ポート 443
VMware Identity Manager
内部ロード バランサホスト名:VMware Identity Manager FQDNIP アドレスの例: 10..x.y.zポート:VMware Identity Manager ポートX-Forwarded-For ヘッダを有効にする必要があります。
外部ロード バランサホスト名: VMware Identity Manager FQDNIP アドレスの例: 64.x.y.zポート:VMware Identity Manager ポートX-Forwarded-For ヘッダを有効にする必要があります。
仮想アプライアンス
仮想アプライアンス
仮想アプライアンス
展開時に VMware Identity Manager FQDN を指定する
VMware Identity Manager 仮想マシンの展開時に、VMware Identity Manager FQDN とポート番号を入力
します。これらの値は、エンド ユーザーがアクセスするホスト名を示している必要があります。
VMware Identity Manager 仮想マシンは、常にポート 443 で実行されます。ロード バランサには、異なる
ポート番号を使用できます。異なるポート番号を使用する場合は、展開時に指定する必要があります。
構成するロード バランサ設定
X-Forwarded-For ヘッダの有効化、ロード バランサのタイムアウトの正確な設定、およびスティッキー
セッションの有効化など、ロード バランサの設定を構成します。さらに、VMware Identity Manager 仮想
アプライアンスとロード バランサ間に SSL トラストを構成する必要があります。
n X-Forwarded-For ヘッダー
ロード バランサで X-Forwarded-For ヘッダーを有効にする必要があります。これによって、認証方法
が決定します。詳細については、ロード バランサのベンダーから提供されるドキュメントを参照して
ください。
Installing and Configuring VMware Identity Manager
76 VMware, Inc.
n ロード バランサのタイムアウト
VMware Identity Manager が正しく機能するように、ロード バランサの要求のタイムアウトをデフォ
ルトの値から増やす必要がある場合があります。この値は、分単位で設定します。タイムアウト設定が
短すぎると、“502 error: The service is currently unavailable.” というエラーが発生することがありま
す。
n スティッキー セッションの有効化
環境に複数の VMware Identity Manager アプライアンスがある場合は、ロード バランサ上でスティッ
キー セッションの設定を有効にする必要があります。これで、ロード バランサはユーザーのセッショ
ンを特定のインスタンスにバインドします。
ロード バランサへの VMware Identity Manager ルート証明書の適用
ロード バランサとともに VMware Identity Manager 仮想アプライアンスが構成されている場合は、ロード
バランサと VMware Identity Manager 間の SSL トラストを確立する必要があります。
VMware Identity Manager ルート証明書をロード バランサにコピーする必要があります。
VMware Identity Manager 証明書は、管理コンソールの アプライアンス設定 > VA 構成 > 構成の管理 ペー
ジでダウンロードできます。
VMware Identity Manager FQDN がロード バランサを参照している場合は、SSL 証明書をロード バランサ
のみに適用できます。
ロード バランサは VMware Identity Manager 仮想マシンと通信するため、VMware Identity Manager ルー
ト CA 証明書を信頼できる証明書としてロード バランサにコピーする必要があります。
手順
1 管理コンソールで アプライアンス設定 タブを選択し、VA 構成 を選択します。
2 構成の管理 をクリックします。
3 証明書のインストール を選択します。
4 ロード バランサ上の SSL の終了 タブを選択し、アプライアンスのルート CA 証明書 フィールドでリ
ンク https://ホスト名/horizon_workspace_rootca.pem をクリックします。
5 -----BEGIN CERTIFICATE----- と -----END CERTIFICATE---- の行を含み、これらの行の間にあるすべて
の行をコピーして、各ロード バランサの正しい場所にルート証明書を貼り付けます。ロード バランサ
のベンダーが提供するドキュメントを参照してください。
次に進む前に
ロード バランサのルート証明書をコピーして、VMware Identity Manager コネクタ アプライアンスに貼り
付けます。
第 6 章 VMware Identity Manager アプライアンスの詳細構成
VMware, Inc. 77
VMware Identity Manager にロード バランサ ルート証明書を適用する
ロード バランサとともに VMware Identity Manager 仮想アプライアンスが構成されている場合は、ロード
バランサと VMware Identity Manager 間の信頼を確立する必要があります。VMware Identity Managerルート証明書をロード バランサにコピーし、さらにロード バランサのルート証明書を
VMware Identity Manager にコピーする必要があります。
手順
1 ロード バランサのルート証明書を取得します。
2 VMware Identity Manager 管理コンソールで アプライアンス設定 タブを選択し、VA 構成 を選択しま
す。
3 構成の管理 をクリックします。
4 管理者ユーザー パスワードでログインします。
5 証明書のインストール ページで、ロード バランサ上の SSL の終了 タブを選択します。
6 ロード バランサの証明書のテキストを ルート CA 証明書 フィールドに貼り付けます。
7 保存 をクリックします。
VMware Identity Manager のためのプロキシ サーバの設定VMware Identity Manager 仮想アプライアンスは、インターネット上のクラウド アプリケーション カタロ
グおよびその他の Web サービスにアクセスします。HTTP プロキシを使用するインターネット アクセスを
ネットワーク構成で指定している場合は、VMware Identity Manager アプライアンスでプロキシ設定を調
整する必要があります。
インターネット トラフィックのみを処理するプロキシを有効にします。プロキシが正しく設定されている
ことを確認するために、ドメイン内の内部トラフィック用のパラメータを no-proxy に設定します。
注意 認証が必要なプロキシ サーバはサポートされません。
手順
1 vSphere Client で、root ユーザーとして VMware Identity Manager 仮想アプライアンスにログインし
ます。
Installing and Configuring VMware Identity Manager
78 VMware, Inc.
2 コマンド ラインに YaST と入力して YaST ユーティリティを実行します。
3 左ペインで ネットワーク サービス を選択してから、プロキシ を選択します。
4 HTTP プロキシ URL フィールドと HTTPS プロキシ URL フィールドにプロキシ サーバの URL を入力
します。
5 終了 を選択して YaST ユーティリティを終了します。
6 VMware Identity Manager 仮想アプライアンスで Tomcat サーバを再起動して新しいプロキシ設定を使
用します。
service horizon-workspace restart
クラウド アプリケーション カタログおよびその他の Web サービスを VMware Identity Manager で使用で
きるようになりました。
単一のデータセンターにおけるフェイルオーバーと冗長性の構成フェイルオーバーと冗長性を実現するために、複数の VMware Identity Manager 仮想アプライアンスをク
ラスタに追加できます。何らかの理由で仮想アプライアンスのいずれかがシャットダウンした場合、
VMware Identity Manager を引き続き使用できます。
初に VMware Identity Manager 仮想アプライアンスを展開および構成してから、そのクローンを作成し
ます。仮想アプライアンスのクローン作成では、クローン元と同じ構成でアプライアンスの複製を作成しま
す。クローン作成された仮想アプライアンスの名前、ネットワーク設定、およびその他のプロパティを必要
に応じて変更し、カスタマイズできます。
VMware Identity Manager 仮想アプライアンスのクローンを作成する前に、ロード バランサの背後でそれ
を構成し、ロード バランサ FQDN に一致するように、その完全修飾ドメイン名 (FQDN) を変更する必要が
あります。また、アプライアンのクローンを作成する前には、VMware Identity Manager サービスでディ
レクトリ構成を完了させておきます。
クローンを作成した後、クローン作成された仮想アプライアンスに新しい IP アドレスを割り当ててから、
アプライアンスをパワーオンします。クローン作成された仮想アプライアンスの IP アドレスは、元の仮想
アプライアンスの IP アドレスと同じガイドラインに従う必要があります。IP アドレスは、正引きと逆引き
の DNS を使用して有効なホスト名に解決する必要があります。
VMware Identity Manager クラスタのすべてのノードは同一で、互いにほぼステートレスなコピーです。
Active Directory、および View や ThinApp などの構成されているリソースとの同期は、クローン作成され
た仮想アプライアンスでは無効です。
1 VMware Identity Manager クラスタで推奨されるノードの数 (P. 80)VMware Identity Manager クラスタを 3 つのノードで設定することを推奨します。
2 VMware Identity Manager の FQDN をロード バランサの FQDN に変更する (P. 80)VMware Identity Manager 仮想アプライアンスのクローンを作成する前に、ロード バランサの
FQDN に一致するように、その完全修飾ドメイン名 (FQDN) を変更する必要があります。
3 仮想アプライアンスのクローンを作成する (P. 81)
4 クローン作成された仮想アプライアンスへの新しい IP アドレスの割り当て (P. 82)クローン作成された各仮想アプライアンスは、新しい IP アドレスを割り当ててからパワーオンしてく
ださい。IP アドレスは、DNS で解決できる必要があります。逆引き DNS でアドレスを参照できない
場合は、ホスト名も割り当ててください。
5 障害発生時に別の インスタンスでディレクトリ同期を有効にする (P. 84)
6 クラスタからのノードの削除 (P. 85)VMware Identity Manager クラスタのノードが正常に機能せず、復元できない場合は、Remove Nodeコマンドを使用してクラスタからノードを削除することができます。このコマンドを使用すると、
VMware Identity Manager データベースからノードのエントリが削除されます。
第 6 章 VMware Identity Manager アプライアンスの詳細構成
VMware, Inc. 79
VMware Identity Manager クラスタで推奨されるノードの数
VMware Identity Manager クラスタを 3 つのノードで設定することを推奨します。
VMware Identity Manager アプライアンスには検索および解析エンジンである Elasticsearch が含まれてい
ます。2 ノード構成のクラスタでは、Elasticsearch に既知の制限があります。Elasticsearch の「スプリット
ブレイン」の制限については、Elasticsearch のドキュメントを参照してください。Elasticsearch の設定を構
成する必要はないことに注意してください。
2 つのノードを備えた VMware Identity Manager クラスタはフェイルオーバー機能を提供しますが、
Elasticsearch に関連するいくつかの制限があります。ノードの 1 つがシャットダウンした場合、ノードが再
起動するまで次の制限が適用されます。
n ダッシュボードにはデータが表示されません。
n ほとんどのレポートは利用できません。
n ディレクトリの同期ログ情報は表示されません。
n 管理コンソールの右上隅の検索フィールドに結果が返されません。
n テキスト フィールドでオートコンプリート機能を使用できません。
ノードが停止している間にデータは失われません。監査イベントと同期ログ データが保存されており、
ノードが復元されると表示されます。
VMware Identity Manager の FQDN をロード バランサの FQDN に変更する
VMware Identity Manager 仮想アプライアンスのクローンを作成する前に、ロード バランサの FQDN に一
致するように、その完全修飾ドメイン名 (FQDN) を変更する必要があります。
開始する前に
n VMware Identity Manager アプライアンスがロード バランサに追加されます。
n ロード バランサのルート CA 証明書を VMware Identity Manager に適用しました。
手順
1 VMware Identity Manager の管理コンソールにログインします。
2 アプライアンス設定 タブを選択します。
3 [仮想アプライアンスの構成] ページで 構成の管理 をクリックします。
4 管理者パスワードを入力してログインします。
5 Identity Manager の構成 をクリックします。
6 Identity Manager FQDN フィールドで、URL のホスト名部分を VMware Identity Manager のホスト
名からロード バランサのホスト名に変更します。
たとえば、VMware Identity Manager のホスト名が myservice であり、ロード バランサのホスト名が
mylb の場合、URL の
https://myservice.mycompany.com
を次のように変更します。
https://mylb.mycompany.com
Installing and Configuring VMware Identity Manager
80 VMware, Inc.
7 保存 をクリックします。
n サービスの FQDN がロード バランサの FQDN に変更されます。
n ID プロバイダの URL がロード バランサの URL に変更されます。
次に進む前に
仮想アプライアンスのクローンを作成します。
仮想アプライアンスのクローンを作成するVMware Identity Manager 仮想アプライアンスのクローン作成により同タイプの仮想アプライアンスを複
数作成し、トラフィックを分散して潜在的なダウンタイムを解消できます。
複数の VMware Identity Manager 仮想アプライアンスを使用することによって、可用性を高め、サービス
への要求を負荷分散して、エンド ユーザーへの応答時間を短縮できます。
開始する前に
n VMware Identity Manager 仮想アプライアンスは、ロード バランサの背後に構成する必要がありま
す。ロード バランサ ポートが 443 番であることを確認します。ポート番号 8443 は管理ポートで、各仮
想アプライアンスに一意であるため、これはポート番号として使用しないでください。
n Connecting to the Database (P. 32)の説明されているように、外部データベースは構成されます。
n VMware Identity Manager でのディレクトリ構成を完了していることを確認します。
n root ユーザーとして仮想アプライアンスのコンソールにログインし、/etc/udev/rules.d/70-
persistent-net.rules ファイルが存在する場合は削除します。このファイルを削除しないでクローン
を作成すると、クローン作成された仮想アプライアンスでネットワークが正しく構成されません。
手順
1 vSphere Client または vSphere Web Client にログインし、VMware Identity Manager 仮想アプライア
ンスに移動します。
2 仮想アプライアンスを右クリックして、クローンの作成 を選択します。
3 クローン作成された仮想アプライアンスの名前を入力して 次へ をクリックします。
この名前は、VM フォルダ内で一意である必要があります。
4 クローン作成された仮想アプライアンスを実行するホストまたはクラスタを選択して 次へ をクリック
します。
5 仮想アプライアンスを実行するリソース プールを選択して 次へ をクリックします。
6 仮想ディスク形式については、ソースと同じ形式 を選択します。
7 仮想アプライアンスのファイルを格納するデータ ストアの場所を選択して、次へ をクリックします。
第 6 章 VMware Identity Manager アプライアンスの詳細構成
VMware, Inc. 81
8 ゲスト OS のオプションとして カスタマイズしない を選択します。
9 オプションを確認して、終了 をクリックします。
クローン作成された仮想アプライアンスが展開されます。クローン作成が完了するまで、仮想アプライアン
スは使用することも編集することもできません。
次に進む前に
クローン作成された仮想アプライアンスをパワーオンしてロード バランサに追加する前に、このアプライ
アンスに IP アドレスを割り当てます。
クローン作成された仮想アプライアンスへの新しい IP アドレスの割り当て
クローン作成された各仮想アプライアンスは、新しい IP アドレスを割り当ててからパワーオンしてくださ
い。IP アドレスは、DNS で解決できる必要があります。逆引き DNS でアドレスを参照できない場合は、
ホスト名も割り当ててください。
手順
1 vSphere Client または vSphere Web Client で、クローン作成された仮想アプライアンスを選択しま
す。
2 サマリ タブの コマンド の下で 設定の編集 をクリックします。
3 オプション を選択し、vApp オプション リストで プロパティ を選択します。
4 IP アドレス フィールドの IP アドレスを変更します。
5 逆引き DNS で IP アドレスを参照できない場合は、ホスト名 テキスト ボックスにホスト名を追加しま
す。
6 OK をクリックします。
7 クローン作成されたアプライアンスをパワーオンし、コンソール タブに青のログイン画面が表示され
るまで待ちます。
重要 クローンのアプライアンスをパワーオンする前に、元のアプライアンスが完全にパワーオンされ
ていることを確認します。
次に進む前に
n Elasticsearch クラスタが作成されるまで数分間待ってから、クローンの仮想アプライアンスをロード
バランサに追加します。
Elasticsearch は検索と分析のエンジンで、仮想アプライアンスに組み込まれています。
a クローンの仮想アプライアンスにログインします。
b Elasticsearch クラスタをチェックします。
curl -XGET 'http://localhost:9200/_cluster/health?pretty=true'
結果がノード数と一致することを確認します。
n クローンの仮想アプライアンスをロード バランサに追加し、トラフィックを分散するようロード バラ
ンサを構成します。詳細については、ロード バランサのベンダーが提供するドキュメントを参照して
ください。
n 元のサービス インスタンスでドメインに参加していた場合は、クローン作成されたサービス インスタ
ンスでドメインに参加する必要があります。
a VMware Identity Manager の管理コンソールにログインします。
Installing and Configuring VMware Identity Manager
82 VMware, Inc.
b ID とアクセス管理 タブを選択し、続いて セットアップ をクリックします。
クローンの各サービス インスタンスのコネクタ コンポーネントは、[コネクタ] ページに表示され
ます。
c 表示されたコネクタごとに、ドメインに参加 をクリックしてドメイン情報を指定します。
Active Directory の詳細については、Active Directory との連携 (P. 45)を参照してください。
n ディレクトリのタイプが統合 Windows 認証 (IWA) の場合は、次の操作を実行する必要があります。
a 元のサービス インスタンスの IWA ディレクトリが参加しているドメインに、クローンのサービス
インスタンスを参加させます。
1 VMware Identity Manager の管理コンソールにログインします。
2 ID とアクセス管理 タブを選択し、続いて セットアップ をクリックします。
クローンの各サービス インスタンスのコネクタ コンポーネントは、[コネクタ] ページに表示
されます。
3 表示されたコネクタごとに、ドメインに参加 をクリックしてドメイン情報を指定します。
b IWA ディレクトリの構成を保存します。
1 ID とアクセス管理 タブを選択します。
2 [ディレクトリ] ページで、IWA ディレクトリのリンクをクリックします。
3 保存 をクリックして、ディレクトリの構成を保存します。
n 元のサービス インスタンスの /etc/krb5.conf ファイルを手動で更新した場合(View 同期のエラーや
遅延を解決する場合など)、クローンのインスタンスをドメインに参加させた後に、クローンのインス
タンスのファイルを更新する必要があります。クローン作成されたすべてのサービス インスタンス
で、次のタスクを実行します。
a /etc/krb5.conf ファイルを編集し、realms セクションのドメインとホストの情報を指定する値
に、/usr/local/horizon/conf/domain_krb.properties ファイルで使用されているものと同じ値を
指定します。ポート番号を指定する必要はありません。たとえば、domain_krb.properties ファイ
ルに example.com=examplehost.example.com:389 のドメイン エントリがある場合、krb5.conf ファ
イルを次のように更新します。
[realms]
GAUTO-QA.COM = {
auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/
auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/
auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-
QA\.COM/GAUTO2QA/
auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/
auth_to_local = DEFAULT
kdc = examplehost.example.com
}
注意 kdc エントリは、複数入力することができます。ただし、ほとんどの場合、kdc の値は 1 つだけであるため、これは必須ではありません。追加の kdc の値を定義する場合は、ドメイン コン
トローラを定義する kdc のエントリを 1 行につき 1 つ指定します。
b Workspace サービスを再起動します。
service horizon-workspace restart
注意 ナレッジベースの記事 KB2091744 も参照してください。
n クローンのインスタンスそれぞれでコネクタに構成した認証方法を有効にします。詳細については、
VMware Identity Manager 管理ガイドを参照してください。
第 6 章 VMware Identity Manager アプライアンスの詳細構成
VMware, Inc. 83
VMware Identity Manager サービス仮想アプライアンスは、優れた可用性を提供します。トラフィック
は、ロード バランサの構成に基づいて、クラスタで仮想アプライアンスに分散されます。サービス認証
は、優れた可用性を実現しています。ただし、サービス インスタンスで障害が発生した場合、クローンの
各サービス インスタンスでディレクトリの同期を手動で有効にする必要があります。ディレクトリの同期
は、サービスのコネクタ コンポーネントによって処理され、一度に 1 つのコネクタでのみ有効にできま
す。障害発生時に別の インスタンスでディレクトリ同期を有効にする (P. 84)を参照してください。
障害発生時に別の インスタンスでディレクトリ同期を有効にするサービス インスタンスで障害が発生した場合、ロード バランサの構成によって、クローン作成されたイン
スタンスが自動的に認証を行います。一方、ディレクトリの同期の場合は、クローン作成されたインスタン
スを使用するように、VMware Identity Manager サービスのディレクトリ設定を変更する必要がありま
す。ディレクトリ同期は、サービスのコネクタ コンポーネントによって処理され、一度に 1 つのコネクタ
でのみ有効にできます。
手順
1 VMware Identity Manager の管理コンソールにログインします。
2 ID とアクセス管理 タブをクリックし、続いて ディレクトリ をクリックします。
3 元のサービス インスタンスに関連付けられたディレクトリをクリックします。
この情報は、セットアップ > コネクタ ページで表示できます。ページには、クラスタ内の各サービス
仮想アプライアンスのコネクタ コンポーネントが表示されます。
4 ディレクトリ ページの ディレクトリの同期と認証 セクションにある コネクタを同期 フィールドで、
いずれか他のコネクタを選択します。
5 バインド DN パスワード フィールドに、Active Directory バインド アカウントのパスワードを入力し
ます。
6 保存 をクリックします。
Installing and Configuring VMware Identity Manager
84 VMware, Inc.
クラスタからのノードの削除
VMware Identity Manager クラスタのノードが正常に機能せず、復元できない場合は、Remove Node コマ
ンドを使用してクラスタからノードを削除することができます。このコマンドを使用すると、
VMware Identity Manager データベースからノードのエントリが削除されます。
クラスタ内のノードの健全性は、システム診断ダッシュボードでステータスを表示して確認できます。「現
在のノードの状態が正しくありません」というメッセージが表示された場合は、ノードが正しく機能していな
いことを示します。
重要 Remove Node コマンドは慎重に使用してください。ノードが回復不能な状態で、
VMware Identity Manager デプロイから完全に削除する必要がある場合のみ、そのコマンドを使用しま
す。
注意 クラスタ内の 後のノードは Remove Node コマンドを使用して削除することはできません。
ドメイン、ディレクトリ同期設定、および組み込み ID プロバイダからのコネクタ コンポーネントの関連付けの解除
VMware Identity Manager クラスタからノードを削除する前に、ノードのコネクタ コンポーネントがどの
ドメインにも参加していないこと、同期コネクタとして使用されていないこと、組み込み ID プロバイダに
関連付けられていないことを確認する必要があります。
開始する前に
テナント管理者、つまり VMware Identity Manager サービスのローカル管理者としてログインする必要が
あります。エンタープライズ ディレクトリから同期したドメイン管理者には必要な権限がありません。
手順
1 管理コンソールにログインします。
2 ID とアクセス管理 タブをクリックし、続いて セットアップ をクリックします。
[コネクタ] ページが表示されます。
3 ノードのコネクタ コンポーネントがドメインに参加している場合は、ドメインから離脱します。
a [コネクタ] ページで、削除するノードのコネクタ コンポーネントを見つけます。
コネクタ コンポーネントの名前はノードと同じです。
b 使用可能なアクション 列に ドメインへの参加を解除 ボタンが表示される場合は、ボタンをクリッ
クしてドメインを離脱します。
4 ノードのコネクタ コンポーネントが任意のディレクトリの同期コネクタとして使用されている場合
は、ディレクトリの同期コネクタ設定を変更して代わりに別のコネクタを使用します。
a [コネクタ] ページの 関連付けられたディレクトリ 列で、コネクタ コンポーネントが関連付けられ
ているディレクトリを表示します。
b ディレクトリのリンクをクリックします。
c [ディレクトリ] ページの ディレクトリの同期と認証 セクションで、同期コネクタ オプションの値
を確認します。
d コネクタ コンポーネントが同期コネクタとして使用されている場合は、同期コネクタ オプション
で別のコネクタを選択し、保存 をクリックします。
e コネクタ コンポーネントが関連付けられているすべてのディレクトリに対して、同じ手順を繰り
返します。
第 6 章 VMware Identity Manager アプライアンスの詳細構成
VMware, Inc. 85
5 コネクタ コンポーネントが組み込み ID プロバイダに関連付けられている場合は、ID プロバイダから
削除します。
a [コネクタ] ページの ID プロバイダ 列に、コネクタ コンポーネントが関連付けられている ID プロ
バイダを表示します。
b 組み込み ID プロバイダがリストされている場合は、リンクをクリックします。
c [ID プロバイダ] ページの コネクタ セクションで、コネクタの横にある削除アイコンをクリックし
ます。
次に進む前に
クラスタからノードを削除します。
クラスタからのノードの削除
ノードのコネクタ コンポーネントをドメイン、ディレクトリ同期設定、および組み込み ID プロバイダから
関連付け解除すると、ノードをクラスタから削除できます。
注意 クラスタ内の 後のノードは Remove コマンドを使用して削除することはできません。
開始する前に
n ノードを削除するには、テナント管理者、つまり VMware Identity Manager サービスのローカル管理
者としてログインする必要があります。エンタープライズ ディレクトリから同期したドメイン管理者
には必要な権限がありません。
n 必要に応じて、ノードのコネクタ コンポーネントをドメイン、ディレクトリ同期設定、および組み込
み ID プロバイダから関連付け解除しました。ドメイン、ディレクトリ同期設定、および組み込み IDプロバイダからのコネクタ コンポーネントの関連付けの解除 (P. 85)を参照してください。
手順
1 ノード仮想マシンをシャットダウンします。
a vCenter Server インスタンスにログインします。
b ノード仮想マシンを右クリックして、電源 > パワーオフ を選択します。
2 ロード バランサからノードを削除します。
3 VMware Identity Manager 管理コンソールで、ノードを削除します。
a ローカル管理者として VMware Identity Manager 管理コンソールにログインします。
b ダッシュ ボード タブの下矢印をクリックし、システム診断ダッシュボード を選択します。
c 削除するノードを見つけます。
ノードには次のステータスが表示されます。
現在のノードの状態が正しくありません。削除しますか?
d メッセージの横に表示される 削除 リンクをクリックします。
ノードがクラスタから削除されます。ノードのエントリは VMware Identity Manager データベースから削
除されます。ノードは、組み込まれた Elasticsearch および Ehcache クラスタからも削除されます。
次に進む前に
その他のコマンドを使用する前に、組み込まれた Elasticsearch および Ehcache クラスタが安定するまで 5~ 15 分待機します。
Installing and Configuring VMware Identity Manager
86 VMware, Inc.
フェイルオーバーと冗長化のためのセカンダリ データセンターへのVMware Identity Manager の展開
プライマリの VMware Identity Manager データセンターが利用できなくなった場合にフェイルオーバー機
能を提供するには、VMware Identity Manager をセカンダリ データセンターに展開する必要があります。
セカンダリ データセンターを使用することで、エンドユーザーは、ダウンタイムなしでログインしてアプ
リケーションを使用できます。セカンダリ データセンターを利用すると、管理者はダウンタイムなしで
VMware Identity Manager の次のバージョンにアップグレードすることもできます。ダウンタイムを発生
させずに VMware Identity Manager をアップグレードする (P. 96)を参照してください。
セカンダリ データセンターを使用した一般的な展開環境をここに示します。
vIDM1vIDM2
(vIDM1 から クローン作成)
(vIDM1 から クローン作成)
(vIDM1 から クローン作成)
(vIDM1 から クローン作成)
(vIDM1 から クローン作成)
vIDM3
Horizon View Cloud Pod アーキテクチャ
SQL Server Always on リスナー
ThinApp リポジトリ (DFS)
XenFarmA
XenFarmB
View ポッドA
View ポッド B
View ポッドC
View ポッドD
XenFarmC
XenFarmD
グローバル LB
DC1 LB
SQL Server(マスター)
Always On
vIDM5vIDM4 vIDM6
DC2 LB
SQL Server(レプリカ)
マルチデータセンターの展開環境ではこれらのガイドラインに従います。
n クラスタの展開:3 つ以上の VMware Identity Manager 仮想アプライアンスのセットを 1 つのデータ
センターに 1 つのクラスタとして展開し、3 つ以上の仮想アプライアンスの別のセットを別のクラスタ
としてセカンダリ データセンターに展開する必要があります。詳細については、セカンダリ データセ
ンターのセットアップ (P. 89)を参照してください。
n データベース: VMware Identity Manager は、データベースを使用してデータを保存します。マルチ
データセンターが展開される環境では、2 つのデータセンター間でデータベースのレプリケーションを
作成することが極めて重要となります。マルチデータセンターでデータベースをセットアップする方法
については、お使いのデータベースのドキュメントを参照してください。たとえば、SQL Server で
第 6 章 VMware Identity Manager アプライアンスの詳細構成
VMware, Inc. 87
は、Always On の展開環境を使用することをお勧めします。詳細については、Microsoft の Web サイ
トの Always On 可用性グループ (SQL Server) の概要を参照してください。VMware Identity Manager機能によって、データベースと VMware Identity Manager アプライアンス間の遅延が非常に短くなり
ます。したがって、あるデータセンターのアプライアンスは、同じデータセンターにあるデータベース
に接続できます。
n 非アクティブ/アクティブ構成: VMware Identity Manager は、同時に両方のデータセンターからユー
ザーにサービスを提供できるアクティブ/アクティブ環境をサポートしません。セカンダリ データセン
ターはホットスタンバイであり、エンド ユーザーに対するビジネス継続性を確保するために使用でき
ます。セカンダリ データセンターの VMware Identity Manager アプライアンスは読み取り専用モード
になっています。したがって、セカンダリ データセンターにフェイルオーバーした後には、ユーザー
やアプリケーションの追加、ユーザーへの資格付与など、ほとんどの管理操作は機能しません。
n プライマリへのフェイルバック:ほとんどの障害発生のシナリオでは、データセンターが正常な状態に
戻った後にプライマリ データセンターにフェイルバックできます。詳細については、プライマリ デー
タセンターへのフェイルバック (P. 96)を参照してください。
n プライマリへのセカンダリの昇格:データセンターの障害が長引く場合、セカンダリ データセンター
をプライマリに昇格できます。詳細については、セカンダリ データセンターからプライマリ データセ
ンターへの昇格 (P. 96)を参照してください。
n 完全修飾ドメイン名:VMware Identity Manager にアクセスするための完全修飾ドメイン名は、すべ
てのデータセンターで同じにする必要があります。
n 監査: VMware Identity Manager は、監査、レポート、およびディレクトリ同期ログに
VMware Identity Manager アプライアンスに組み込まれている Elasticsearch を使用します。各データ
センターに個別の Elasticsearch クラスタを作成する必要があります。詳細については、セカンダリ
データセンターのセットアップ (P. 89)を参照してください。
n Active Directory:VMware Identity Manager は、LDAP API を使用するか、統合 Windows 認証を使
用して、Active Directory に接続できます。どちらの方法でも、VMware Identity Manager は、ActiveDirectory の SRV レコードを利用して、各データセンターにある適切なドメイン コントローラにアク
セスできます。
n Windows アプリケーション:VMware Identity Manager は、ThinApp を使用した Windows アプリ
ケーションへのアクセス、および Horizon View または Citrix テクノロジを使用した Windows アプリ
ケーションおよびデスクトップへのアクセスをサポートします。ユーザーの近くにあるデータセンター
からこれらのリソースを配信することが通常、重要となります。これは Geo-Affinity(地理的な親和
性)とも呼ばれる場合があります。Windows リソースについては次の点に注意してください。
n ThinApps - VMware Identity Manager は、Windows 分散ファイル システムを ThinApp リポジト
リとしてサポートします。ロケーション固有の適切なポリシーをセットアップするには、
Windows 分散ファイル システムのドキュメントを参照してください。
n Horizon View(Cloud Pod アーキテクチャ)- VMware Identity Manager は、Horizon Cloud Podアーキテクチャをサポートします。Horizon Cloud Pod アーキテクチャは、グローバル資格を使用
して、Geo-Affinity を提供します。詳細については、『VMware Identity Manager でのリソースの
セットアップ』の「Cloud Pod アーキテクチャ環境の統合」を参照してください。
VMware Identity Manager のマルチデータセンターの展開環境では、他の変更は必要ありませ
ん。
n Horizon View(Cloud Pod アーキテクチャなし)- Horizon Cloud Pod アーキテクチャがお使いの
環境で有効になっていない場合は、Geo-Affinity を有効にできません。フェイルオーバーが発生し
た後には、セカンダリ データセンターで構成されている View ポッドから Horizon View リソース
を起動するように VMware Identity Manager を手動で切り替えることができます。詳細について
は、Horizon View および Citrix ベースのリソースのフェイルオーバー順序の構成 (P. 93)を参照し
てください。
Installing and Configuring VMware Identity Manager
88 VMware, Inc.
n Citrix リソース - Horizon View(Cloud Pod アーキテクチャなし)と同様に、Citrix リソースでは
Geo-Affinity を有効にできません。フェイルオーバーが発生した後には、セカンダリ データセン
ターで構成されている XenFarms から Citrix リソースを起動するように
VMware Identity Manager を手動で切り替えることができます。詳細については、Horizon Viewおよび Citrix ベースのリソースのフェイルオーバー順序の構成 (P. 93)を参照してください。
セカンダリ データセンターのセットアップ
セカンダリ データセンターは、通常、異なる vCenter Server で管理されます。セカンダリ データセンター
をセットアップするときは、各要件に基づいて、以下を構成および実装できます。
n プライマリ データセンターからインポートされた OVA ファイルから作成された、セカンダリ データ
センターの VMware Identity Manager アプライアンス
n セカンダリ データセンターのロード バランサ
n Horizon View と Citrix ベースのリソースと資格の複製
n データベース構成
n フェイルオーバーのための、プライマリおよびセカンダリ データセンター全体にわたるロード バラン
サまたは DNS エントリ
レプリケーションのためのプライマリ データセンターの変更
セカンダリ データセンターをセットアップする前に、クラスタ全体で Elasticsearch および Ehcache を複製
するためにプライマリ データセンターを構成します。
Elasticsearch および Ehcache が VMware Identity Manager 仮想アプライアンスに組み込まれています。
Elasticsearch は、監査、レポート、およびディレクトリ同期ログに使用される検索および分析エンジンで
す。Ehcache は、キャッシュ機能を提供します。
プライマリ データセンター クラスタのすべてのノードでこれらの変更を構成します。
開始する前に
プライマリ データセンターに VMware Identity Manager クラスタがセットアップされています。
第 6 章 VMware Identity Manager アプライアンスの詳細構成
VMware, Inc. 89
手順
1 Elasticsearch をレプリケーション用に構成します。
プライマリ データセンター クラスタの各ノードでこれらの変更を行います。
a Elasticsearch の cron ジョブを無効にします。
1 /etc/cron.d/hznelasticsearchsync ファイルを編集します。
vi /etc/cron.d/hznelasticsearchsync
2 この行をコメント アウトします。
#*/1 * * * * root /usr/local/horizon/scripts/elasticsearchnodes.hzn
b プライマリ データセンター クラスタのすべてのノードの IP アドレスを追加します。
1 /etc/sysconfig/elasticsearch ファイルを編集します。
vi /etc/sysconfig/elasticsearch
2 クラスタのすべてのノードの IP アドレスを追加します。
ES_UNICAST_HOSTS=IPaddress1,IPaddress2,IPaddress3
c セカンダリ データセンター クラスタのロード バランサの FQDNを /usr/local/horizon/conf/runtime-config.properties ファイルに追加します。
1 /usr/local/horizon/conf/runtime-config.properties ファイルを編集します。
vi /usr/local/horizon/conf/runtime-config.properties
2 次の行をファイルに追加します。
analytics.replication.peers=LB_FQDN_of_second_cluster
2 Ehcache をレプリケーション用に構成します。
プライマリ データセンター クラスタの各ノードでこれらの変更を行います。
a vi /usr/local/horizon/conf/runtime-config.properties
b クラスタのすべてのノードの FQDN を追加します。編集しているノードの FQDN は追加しないで
ください。FQDN をコロンで区切ります。
ehcache.replication.rmi.servers=node2FQDN:node3FQDN
例:
ehcache.replication.rmi.servers=server2.example.com:server3.example.com
3 すべてのノードで VMware Identity Manager サービスを再起動します。
service horizon-workspace restart
4 クラスタが正しくセットアップされたことを確認します。
これらのコマンドを 初のクラスタにあるすべてのノードで実行します。
a Elasticsearch の健全性を確認します。
curl 'http://localhost:9200/_cluster/health?pretty'
このコマンドによって、次のような結果が返されます。
{
"cluster_name" : "horizon",
"status" : "green",
"timed_out" : false,
"number_of_nodes" : 3,
"number_of_data_nodes" : 3,
Installing and Configuring VMware Identity Manager
90 VMware, Inc.
"active_primary_shards" : 20,
"active_shards" : 40,
"relocating_shards" : 0,
"initializing_shards" : 0,
"unassigned_shards" : 0,
"delayed_unassigned_shards" : 0,
"number_of_pending_tasks" : 0,
"number_of_in_flight_fetch" : 0
}
問題がある場合には、Elasticsearch のトラブルシューティング (P. 108)を参照してください。
b /opt/vmware/horizon/workspace/logs/ horizon.log ファイルにこの行が含まれていることを確認
します。
Added ehcache replication peer: //node3.example.com:40002
このホスト名は、クラスタ内の他のノード名にする必要があります。
次に進む前に
セカンダリ データセンターでクラスタを作成します。 初の VMware Identity Manager 仮想アプライアン
スの OVA ファイルをプライマリ データセンター クラスタからエクスポートし、そのファイルを使用して
新しい仮想アプライアンスをセカンダリ データセンターに展開して、ノードを作成します。
セカンダリ データセンターでの VMware Identity Manager 仮想アプライアンスの作成
セカンダリ データセンターで VMware Identity Manager クラスタをセットアップするには、元の
VMware Identity Manager アプライアンスの OVA ファイルをプライマリ データセンターにエクスポート
し、そのファイルを使用してセカンダリ データセンターにアプライアンスを展開します。
開始する前に
n プライマリ データセンターの元の VMware Identity Manager アプライアンスからエクスポートした
VMware Identity Manager OVA ファイル
n セカンダリ データセンターの IP アドレスと DNS レコード
手順
1 プライマリ データセンターで、元の VMware Identity Manager アプライアンスの OVA ファイルをエ
クスポートします。
詳細については、vSphere のドキュメントを参照してください。
2 セカンダリ データセンターで、エクスポートされた VMware Identity Manager OVA ファイルを展開
して新しいノードを作成します。
詳細については、vSphere のドキュメントを参照してください。VMware Identity Manager OVA ファ
イルの展開 (P. 19)も参照してください。
3 VMware Identity Manager アプライアンスがパワーオンしたら、それぞれのアプライアンス構成を更
新します。
セカンダリ データセンターの VMware Identity Manager アプライアンスは、プライマリ データセン
ターの元の VMware Identity Manager アプライアンスの完全なコピーです。Active Directory との同
期、およびプライマリ データセンターで構成されるリソースとの同期は無効になります。
次に進む前に
管理コンソール ページに移動して、次のように構成します。
n プライマリ データセンターの元の VMware Identity Manager アプライアンスでの構成と同様に、[ドメ
インに参加] を有効にします。
第 6 章 VMware Identity Manager アプライアンスの詳細構成
VMware, Inc. 91
n [認証アダプタ] ページで、プライマリ データセンターで構成されている認証方法を追加します。
n プライマリ データセンターで構成されていれば、[ディレクトリ認証方法] ページで Windows 認証を有
効にします。
アプライアンス設定 の [証明書のインストール] ページに移動して、証明機関の署名入りの証明書を追加
し、プライマリ データセンターの VMware Identity Manager アプライアンスで証明書を複製します。SSL証明書の使用 (P. 36)を参照してください。
セカンダリ データセンターでのノードの構成
プライマリ データセンターからエクスポートされた OVA ファイルを使用してセカンダリ データセンター
でノードを作成したら、ノードを構成します。
セカンダリ データセンターにある各ノードでこれらの手順に従って操作します。
手順
u IP アドレス テーブルを更新します。
a /usr/local/horizon/scripts/updateiptables.hzn ファイルで、セカンダリ データセンターにある
すべてのノードの IP アドレスを更新します。
1 vi /usr/local/horizon/scripts/updateiptables.hzn
2 ALL_IPS 行を見つけ、置換します。スペースで区切って IP アドレスを指定します。
ALL_IPS="Node1_IPaddress Node2_IPaddress Node3_IPaddress"
3 このスクリプトを実行して、ポートを開きます。
/usr/local/horizon/scripts/updateiptables.hzn
b Elasticsearch および Ehcache 複製のノードを構成し、それらが正しくセットアップされているこ
とを確認します。
レプリケーションのためのプライマリ データセンターの変更 (P. 89)の操作手順を参照し、セカン
ダリ データセンターのノードに適用します。
cron ジョブはすでに無効になっています。
セカンダリ データセンターで runtime-config.properties ファイルを編集する
SQL Server Always On 以外のデータベースを使用して展開してる場合、セカンダリ データセンターの
VMware Identity Manager アプライアンスの runtime-config.properties ファイルを編集して、セカンダリ
データセンターのデータベースを指定し、アプライアンスを読み取り専用アクセスに構成するように JDBCURL を変更する必要があります。SQL Server Always On を展開して使用している場合は、この手順は不要
です。
セカンダリ データセンターの各 VMware Identity Manager アプライアンスでこれらの変更を行います。
手順
1 ssh クライアントを使用して、VMware Identity Manager アプライアンスに root ユーザーとしてログ
インします。
2 runtime-config.properties ファイルを /usr/local/horizon/conf/runtime-config.properties で開き
ます。
3 セカンダリ データセンターのデータベースを参照するよう JDBC URL を変更します。
Configure VMware Identity Manager to Use an External Database (P. 35)を参照してください。
4 読み取り専用アクセスになるよう VMware Identity Manager アプライアンスを構成します。
行 read.only.service=true を追加します。
Installing and Configuring VMware Identity Manager
92 VMware, Inc.
5 アプライアンス上の Tomcat サーバを再起動します。
service horizon-workspace restart
Horizon View および Citrix ベースのリソースのフェイルオーバー順序の構成
Horizon View および Citrix ベースのリソースについては、どのデータセンターでも適切なリソースが利用
できるように、プライマリ データセンターとセカンダリ データセンターの両方で、リソースのフェイル
オーバー順序を構成する必要があります。
サービス インスタンスごとに組織内のリソースのフェイルオーバー順序を含めたデータベース テーブルを
作成するには、hznAdminTool コマンドを使用します。リソースが起動するときに、構成されたフェイル
オーバー順序が使用されます。両方のデータセンターで hznAdminTool failoverConfiguration を実行し
て、フェイルオーバー順序をセットアップします。
開始する前に
VMware Identity Manager が複数のデータセンターで展開されると、同じリソースが各データセンターで
もセットアップされます。View ポッドまたは Citrix ベースの XenFarm にある各アプリケーションまたは
デスクトップ プールは、VMware Identity Manager のカタログにおいて異なるリソースと見なされます。
カタログでのリソースの重複を防止するには、管理コンソール の [View プール] ページまたは [公開アプリ
ケーション - Citrix] ページの 重複アプリケーションを同期しない を有効にしていることを確認します。
手順
1 ssh クライアントを使用して、VMware Identity Manager アプライアンスに root ユーザーとしてログ
インします。
2 サーバ インスタンスのリストを表示するには、hznAdminTool serviceInstances と入力します。
サービス インスタンスのリストが、割り当てられている ID 番号とともに表示されます。たとえば、次
のように表示されます。
{"id":103,"hostName":"ws4.domain.com","ipaddress":"10.142.28.92"}{"id":
154,"hostName":"ws3.domain.com","ipaddress":"10.142.28.91"}{"id":
1,"hostName":"ws1.domain.com","ipaddress":"10.143.104.176"}{"id":
52,"hostName":"ws2.domain.com","ipaddress":"10.143.104.177"}
3 組織内の各サービス インスタンスについて、View および Citrix ベースのリソースのフェイルオーバー
順序を構成し、
「hznAdminTool failoverConfiguration -configType <configType> -configuration <configuration>
-serviceInstanceId <serviceInstanceId> [-orgId <orgId>]」と入力します。
オプション 説明
-configType フェイルオーバーに構成されているリソース タイプを入力します。値は
VIEW か XENAPP のいずれかになります。
-configuration フェイルオーバーの順序を入力します。構成タイプが VIEW の場合は、管
理コンソールの [View プール] ページに表示されている、プライマリ
View 接続サーバのホスト名のカンマ区切りリストとして入力します。構
成タイプが XENAPP の場合は、XenFarm 名のカンマ区切りリストとして
入力します。
-serviceInstanceId 構成が設定されているサービス インスタンスの ID を入力します。この IDは、手順 2 で表示されたリストに記載されています。"id":
-orgId (オプション)空白のままにすると、デフォルトの組織向け構成が設定さ
れます。
たとえば、 hznAdminTool failoverConfiguration -configType VIEW -configuration
pod1vcs1.domain.com,pod2vcs1.hs.trcint.com -orgId 1 -serviceInstanceId 1 となります。
第 6 章 VMware Identity Manager アプライアンスの詳細構成
VMware, Inc. 93
セカンダリ データセンターの VMware Identity Manager インスタンス向けにこのコマンドを入力する
と、View 接続サーバの順序が逆になります。この例では、コマンドは hznAdminToolfailoverConfiguration -configType VIEW -configuration pod2vcs1.hs.trcint.com,
pod1vcs1.domain.com -orgId 1 -serviceInstanceId 103 のようになります。
リソース フェイルオーバーのデータベース テーブルが、各データセンター用にセットアップされます。
次に進む前に
View および Citrix ベースの各リソースについて、既存のフェイルオーバー構成を表示するには、
hznAdminTool failoverConfigurationList -configType <configtype> -<orgId) を実行します。
<configtype> の値は、VIEW か XENAPP のいずれかになります。configType が VIEW の場合の
hznAdminTool failoverConfiguraitonList の出力例は、次のとおりです。
{"idOrganization":1,"serviceInstanceId":
52,"configType":"VIEW","configuration":"pod1vcs1.domain.com,pod2vcs1.domain.com"}
{"idOrganization":1,"serviceInstanceId":
103,"configType":"VIEW","configuration":"pod2vcs1.domain.com,pod1vcs1.domain.com"}
{"idOrganization":1,"serviceInstanceId":
154,"configType":"VIEW","configuration":"pod2vcs1.domain.com,pod1vcs1.domain.com"}
データベースのフェイルオーバーを構成する
VMware Identity Manager では、プライマリ データセンター内のデータベース サーバ全体およびセカンダ
リ データセンター全体にわたってデータの一貫性が保たれるようにデータベース レプリケーションが構成
されます。
高可用性のために外部データベースを構成する必要があります。マスターおよびスレーブ データベース
アーキテクチャを構成します。その際、スレーブはマスターの完全なレプリカとなります。
詳細は、外部データベースのドキュメントを参照してください。
SQL Server Always On を使用している場合は、各 VMware Identity Manager アプライアンスでデータベー
スを構成するときに、SQL Server リスナーのホスト名または IP アドレスを使用します。例:
jdbc:sqlserver://<リスナー_ホスト名>;DatabaseName=saas
セカンダリ データセンターへのフェイルオーバー
プライマリ データセンターに障害が発生した場合、セカンダリ データセンターにフェイルオーバーできま
す。フェイルオーバーでは、セカンダリ データセンターのロード バランサを指定するようにグローバル
ロード バランサまたは DNS レコードを変更する必要があります。
データベースのセットアップ環境によって、セカンダリ データセンターの VMware Identity Manager アプ
ライアンスは読み取り専用モードまたは読み取り/書き込みモードのいずれかになります。SQL ServerAlways On 以外のすべてのデータベースでは、VMware Identity Manager アプライアンスは読み取り専用
モードになります。したがって、ユーザーやアプリケーションの追加、ユーザーへの資格付与など、ほとん
どの管理者操作は利用できません。
SQL Server Always On を展開して使用している場合、セカンダリ データセンターの
VMware Identity Manager アプライアンスは読み取り/書き込みモードになります。
DNS レコードを使用したアクティブとなるデータ センターの制御
ドメイン ネームシステム (DNS) レコードを使用して、データ センターのユーザー トラフィックをルー
ティングしている場合、通常の運用状況下では、DNS レコードはプライマリ データ センターのロード バランサを指定する必要があります。
プライマリ データ センターが利用できなくなる場合、セカンダリ データ センターのロード バランサを指
定するように DNS レコードを更新する必要があります。
Installing and Configuring VMware Identity Manager
94 VMware, Inc.
プライマリ データ センターが再び利用できるようになったら、プライマリ データ センターのロード バラ
ンサを指定するように DNS レコードを更新する必要があります。
DNS レコードの生存時間 (TTL) の設定
生存時間 (TTL) の設定によって、DNS 関連の情報がキャッシュで更新されるまでの時間の長さが決定しま
す。View デスクトップとアプリケーションをシームレスにフェイルオーバーさせるため、必ず、DNS レコードの生存時間 (TTL) を短く設定してください。 TTL をあまりにも長く設定すると、フェイルオーバー
の後、ユーザーはすぐに View デスクトップとアプリケーションにアクセスできない場合があります。DNSを迅速に更新できるようにするには、DNS TTL を 30 秒に設定します。
読み取り専用モードでは利用できない VMware Identity Manager のアクティビティ
読み取り専用モードでの VMware Identity Manager の使用は、エンド ユーザーがマイ アプリ ポータルで
リソースにアクセスできるようにする高可用性環境を実現することを想定しています。
VMware Identity Manager の管理コンソールおよび他の管理サービス ページでの一部のアクティビティ
は、読み取り専用モードでは利用できない場合があります。次のリストでは、利用できない一般的なアク
ティビティの一部を示しています。
VMware Identity Manager が読み取り専用モードで動作しているときは、Active Directory またはデータ
ベースでの変更に関係する操作を行えず、また VMware Identity Manager データベースとの同期は実行さ
れません。
この間、データベースへの書き込みを必要とする管理機能も利用できません。VMware Identity Managerが読み取りおよび書き込みノードに戻るまで待つ必要があります。
読み取り専用モードの VMware Identity Manager 管理コンソール
以下は、読み取り専用モードの管理コンソールでの制限の一部を示しています。
n ユーザーとグループ タブでのユーザーおよびグループの追加、削除、編集
n カタログ タブでのアプリケーションの追加、削除、編集
n アプリケーションの使用資格の追加、削除、編集
n ブランド情報の変更
n ユーザーおよびグループを追加、編集、削除するディレクトリ同期
n View、XenApp、その他リソースを含むリソースについての情報の編集
n [認証方法] ページの編集
注意 管理コンソールには、セカンダリ データセンターの VMware Identity Manager アプライアンスのコ
ネクタ コンポーネントが表示されます。同期コネクタとして、セカンダリ データセンターからコネクタを
選択しないようにしてください。
読み取り専用モードの [仮想アプライアンスの構成] ページ
以下は、読み取り専用モードの [アプライアンス構成] ページでの制限の一部を示しています。
n データベース接続のセットアップのテスト
n [パスワードの変更] ページでの 管理者パスワードの変更
読み取り専用モードのエンド ユーザー向けアプリケーション ポータル
VMware Identity Manager が読み取り専用モードのとき、ユーザーは自身の VMware Identity Managerポータルにログインし、リソースにアクセスできます。エンド ユーザー ポータルにおける次の機能は、読
み取り専用モードでは利用できません。
n お気に入りとしてリソースにマークを付ける、またはお気に入りとして付けたマークをリソースから外
す
第 6 章 VMware Identity Manager アプライアンスの詳細構成
VMware, Inc. 95
n [カタログ] ページからのリソースの追加、または [ランチャ] ページからのリソースの削除
n アプリケーション ポータル ページからのパスワードの変更
読み取り専用モード VMware Identity Manager Windows クライアント
VMware Identity Manager が読み取り専用モードのとき、ユーザーは Windows クライアントを新たにセッ
トアップすることはできません。既存の Windows クライアントは継続して動作します。
プライマリ データセンターへのフェイルバック
ほとんどの障害発生のシナリオでは、データセンターの機能が復帰した後にプライマリ データセンターに
フェールバックできます。
手順
1 プライマリ データセンターのロード バランサを指定するようにグローバル ロード バランサまたは
DNS レコードを変更します。
DNS レコードを使用したアクティブとなるデータ センターの制御 (P. 94)を参照してください。
2 セカンダリ データセンターのキャッシュを消去します。
REST API を使用してキャッシュを消去できます。
パス:/SAAS/jersey/manager/api/removeAllCaches
方法:POST
許可されるロール:オペレータのみ
セカンダリ データセンターからプライマリ データセンターへの昇格
データセンターの障害が長引く場合、セカンダリ データセンターをプライマリに昇格できます。
SQL Server Always On 環境では、変更は必要ありません。他のデータベース構成では、アプライアンスを
読み取り/書き込みモードに構成するには、セカンダリ データセンターの VMware Identity Manager アプラ
イアンスで runtime-config.properties ファイルを編集する必要があります。
セカンダリ データセンターの各 VMware Identity Manager アプライアンスでこれらの変更を行います。
手順
1 ssh クライアントを使用して、VMware Identity Manager アプライアンスに root ユーザーとしてログ
インします。
2 /usr/local/horizon/conf/runtime-config.properties ファイルを開いて編集します。
3 read.only.service=true 行を read.only.service=false に変更します。
4 runtime-config.properties ファイルを保存します。
5 アプライアンス上の Tomcat サーバを再起動します。
service horizon-workspace restart
ダウンタイムを発生させずに VMware Identity Manager をアップグレードする
マルチデータセンターを展開している場合、ダウンタイムを発生させずに、VMware Identity Manager の次のバージョンにアップグレードできます。システムを停止することなくアップグレードするには、この推
奨ワークフローを使用します。
これらの手順を実行するときには、フェイルオーバーと冗長化のためのセカンダリ データセンターへの
VMware Identity Manager の展開 (P. 87)の図を参照してください。
Installing and Configuring VMware Identity Manager
96 VMware, Inc.
手順
1 グローバル ロード バランサのルーティングを切り替えて、要求を DC2 LB に送信します。
2 データベースのレプリケーションを停止します。
3 vIDM1 仮想アプライアンス、vIDM2 仮想アプライアンス、vIDM3 仮想アプライアンスの順番に更新
します。
4 DC1-LB を使用して更新をテストします。
5 問題がなければ、グローバル ロード バランサ を切り替えて DC1 LB に要求をルーティングします。
6 vIDM4 仮想アプライアンス、vIDM5 仮想アプライアンス、vIDM6 仮想アプライアンスの順番に更新
します。
7 DC2-LB を使用して更新をテストします。
8 データベースのレプリケーションを開始します。
第 6 章 VMware Identity Manager アプライアンスの詳細構成
VMware, Inc. 97
Installing and Configuring VMware Identity Manager
98 VMware, Inc.
追加コネクタ アプライアンスのインストール 7
コネクタは、VMware Identity Manager サービスの一部です。VMware Identity Manager 仮想アプライア
ンスをインストールする際、コネクタ コンポーネントはデフォルトで常に含まれます。
コネクタは、次の機能を実行します。
n エンタープライズ ディレクトリと、サービスで作成した対応ディレクトリ間でユーザーとグループの
データを同期します。
n ID プロバイダとして使用される場合、サービスに対してユーザーを認証します。
コネクタは、デフォルトの ID プロバイダになります。
コネクタはサービスの一部として提供されるため、標準的な展開環境では、追加コネクタをインストールす
る必要はありません。
ただし、状況によっては、追加コネクタが必要になる場合があります。 例:
n ディレクトリ タイプが異なる複数の Active Directory(統合 Windows 認証)を使用している場合は、
それぞれに個別のコネクタが必要です。
コネクタ インスタンスは、複数のディレクトリと関連付けることができます。ワーカーと呼ばれる
パーティションが各ディレクトリのコネクタで作成されます。ただし、同じコネクタ インスタンスで
は、統合 Windows 認証タイプの 2 つのワーカーを使用することはできません。
n 社内または外部のどちらからログインするかによって、ユーザーのアクセスを管理したい場合。
n 証明書ベースの認証を使用したいが、ロード バランサで SSL が終端するように構成されている場合。
証明書認証では、ロード バランサでの SSL パススルーが要求されます。
追加コネクタをインストールするには、次のタスクを実行します。
n コネクタ OVA パッケージをダウンロードします。
n サービスでアクティベーション トークンを生成します。
n コネクタ仮想アプライアンスを展開します。
n コネクタ設定を構成します。
展開する追加コネクタはすべてサービスのユーザー インターフェイスで表示されます。
この章では次のトピックについて説明します。
n コネクタのアクティブ化コードを生成する (P. 100)
n Connector OVA ファイルを展開する (P. 100)
n Connector の設定 (P. 101)
VMware, Inc. 99
コネクタのアクティブ化コードを生成する
コネクタ仮想アプライアンスを展開する前に、新しいコネクタのアクティブ化コードを
VMware Identity Manager サービスから生成します。コネクタのアクティブ化コードは、サービスとコネ
クタ間の通信を確立するために使用されます。
手順
1 VMware Identity Manager の管理コンソールにログインします。
2 ID とアクセス管理 タブをクリックします。
3 セットアップ をクリックします。
4 [コネクタ] ページで、コネクタを追加 をクリックします。
5 新しいコネクタ インスタンスの名前を入力します。
6 アクティブ化コードを生成 をクリックします。
アクティブ化コードが コネクタのアクティブ化コード フィールドに表示されます。
7 コネクタのアクティブ化コードをコピーして保存します。
アクティブ化コードは、コネクタ セットアップ ウィザードを実行するときに使用します。
次に進む前に
コネクタ仮想アプライアンスをインストールします。
Connector OVA ファイルを展開する
コネクタ OVA ファイルをダウンロードし、VMware vSphere Client または vSphere Web Client を使用して
展開します。
開始する前に
n コネクタ OVA の展開に使用する DNS レコードとホスト名を特定します。
n vSphere Web Client を使用する場合は、Firefox ブラウザまたは Chrome ブラウザを使用します。
Internet Explorer を使用して OVA ファイルを展開しないでください。
n コネクタ OVA ファイルをダウンロードします。
手順
1 vSphere Client または vSphere Web Client で、ファイル > OVF テンプレートを展開 を選択します。
2 [OVF テンプレートの展開] ページで、使用環境のコネクタの展開に固有の情報を入力します。
ページ 説明
vCenter サーバの IP アドレス OVA パッケージの場所を参照するか、または特定の URL を入力します。
OVA テンプレートの詳細 正しいバージョンを選択していることを確認します。
ライセンス エンド ユーザー使用許諾契約を読み、同意する をクリックします。
名前と場所 仮想アプライアンスの名前を入力します。名前はインベントリ フォルダ内
で一意である必要があり、 大で 80 文字指定できます。名前の大文字と
小文字は区別されます。
仮想アプライアンスの場所を選択します。
ホスト/クラスタ ホストまたはクラスタを選択して展開したテンプレートを実行します。
リソース プール リソース プールを選択します。
ストレージ 仮想マシン ファイルを格納する場所を選択します。
Installing and Configuring VMware Identity Manager
100 VMware, Inc.
ページ 説明
ディスク形式 ファイルのディスク形式を選択します。本番環境の場合は、シック プロビ
ジョニング 形式を選択します。評価やテストには シン プロビジョニング
形式を使用します。
ネットワークのマッピング ユーザーの環境のネットワークを OVF テンプレートのネットワークに
マッピングします。
プロパティ a タイムゾーンの設定 フィールドで、正しいタイム ゾーンを選択しま
す。
b デフォルトでは、[カスタマ エクスペリエンス改善プログラム] チェッ
ク ボックスはオンになっています。VMware はお客様のご要望への対
応を向上させるために、お客様の展開環境に関する匿名データを収集
します。データを収集されたくない場合は、チェック ボックスをオフ
にします。
c [ホスト名] テキスト ボックスに、使用するホスト名を入力します。空
白にすると、逆引き DNS を使用してホスト名が参照されます。
d コネクタに固定 IP アドレスを構成するには、デフォルト ゲートウェ
イ、DNS、IP アドレス、およびネットマスクのそれぞれにアドレスを
入力します。
重要 ホスト名を含む 4 つのアドレス フィールドのいずれかが空白の
場合は、DHCP が使用されます。
DHCP を構成する場合は、アドレス フィールドを空白のままにしておき
ます。
設定の確認 選択内容を確認し、終了 をクリックします。
ネットワークの速度によっては、展開に数分かかることがあります。進捗のダイアログ ボックスで進
捗状況を表示できます。
3 展開が完了したら、 アプライアンスを選択して右クリックし、パワー > パワーオン を選択します。
アプライアンスは初期化されます。コンソール タブで詳細を確認できます。仮想アプライアンスの初
期化が完了すると、コンソール画面に のバージョンと、 セットアップ ウィザードにログインしてセッ
トアップを完了するための URL が表示されます。
次に進む前に
セットアップ ウィザードを使用して、アクティブ化コードと管理者パスワードを追加します。
Connector の設定
コネクタ OVA を展開してインストールしたら、セットアップ ウィザードを実行してアプライアンスのアク
ティベーションを行い、管理者パスワードを構成します。
開始する前に
n 新しいコネクタのアクティベーション コードを入手しています。コネクタのアクティブ化コードを生
成する (P. 100)を参照してください。
n コネクタ アプライアンスがパワーオンされていること、そしてコネクタの URL を把握していることを
確認します。
n コネクタ 管理者、root アカウントおよび sshuser アカウントに使用するパスワードのリストを収集し
ます。
手順
1 セットアップ ウィザードを実行するには、OVA が展開された後に [コンソール] タブに表示されたコネ
クタの URL を入力します。
2 [ようこそ] ページで、続行 をクリックします。
第 7 章 追加コネクタ アプライアンスのインストール
VMware, Inc. 101
3 次のコネクタ仮想アプライアンスの管理者アカウントでは強力なパスワードを作成します。
強度の高いパスワードの長さは、少なくとも 8 文字であり、大文字と小文字が含まれ、少なくとも 1 つ数字および特殊文字が含まれる必要があります。
オプション 説明
アプライアンス管理者 アプライアンス管理者のパスワードを作成します。ユーザー名は adminです。変更することはできません。このアカウントとパスワードを使用し
てコネクタ サービスにログインし、証明書、アプライアンスのパスワー
ド、および syslog の構成を管理します。
重要 admin ユーザーは、6 文字以上のパスワードを使用する必要があり
ます。
root アカウント デフォルトの VMware root パスワードが、コネクタ アプライアンスのイ
ンストールに使用されました。新しい root パスワードを作成します。
sshuser アカウント コネクタ アプライアンスへのリモート アクセスに使用するパスワードを
作成します。
4 続行 をクリックします。
5 [コネクタのアクティベーション] ページで、アクティベーション コードを貼り付けて、続行 をクリッ
クします。
アクティベーション コードが検証され、サービスと コネクタ インスタンス間の通信が確立されます。
コネクタ の構成は完了です。
次に進む前に
サービスでは、ニーズに基づいて環境をセットアップします。たとえば、2 つの統合 Windows 認証ディレ
クトリを同期させるためにコネクタを追加した場合は、ディレクトリを作成し、それを新しいコネクタと関
連付けます。
コネクタの SSL 証明書を構成します。SSL 証明書の使用 (P. 36)を参照してください。
Installing and Configuring VMware Identity Manager
102 VMware, Inc.
組み込み KDC の使用 8AirWatch で管理されている iOS デバイスの iOS 版モバイル SSO 認証の場合は、組み込み KDC を使用でき
ます。管理コンソールで認証方法を有効にする前に、アプライアンスのキー配布センター (KDC) を手動で
初期化します。
注意 Windows 環境で VMware Identity Manager を AirWatch に統合する場合は、組み込み KDC ではな
く、VMware Identity Manager KDC クラウド ホスト型サービスを使用します。クラウドで KDC を使用す
るには、管理コンソールから、iOS 認証アダプタ ページで適切なレルム名を選択する必要があります。
『VMware Identity Manager 管理ガイド』を参照してください。
VMware Identity Manager で KDC を初期化する前に、KDC サーバのレルム名を決めます。また、展開環
境にサブドメインを含めるかどうか、デフォルトの KDC サーバ証明書を使用するかどうかを決めます。
レルム
レルムは、認証データを保持する管理エンティティの名前です。Kerberos 認証レルムには分かりやすい名
前を選択することが重要です。レルム名は、企業が構成できる DNS ドメインの一部である必要がありま
す。
レルム名は、VMware Identity Manager サービスにアクセスするために使用される完全修飾ドメイン名
(FQDN) から独立しています。企業は、レルム名と FQDN の両方に対し、DNS ドメインを制御する必要が
あります。一般的には、レルム名をドメイン名と同一とし、大文字で指定します。ドメイン名とは異なるレ
ルム名を指定することもあります。たとえば、レルム名が EXAMPLE.NET で、idm.example.com がVMware Identity Manager の FQDN であるとします。この場合、example.net と example.com の両方につい
て、DNS エントリを定義します。
レルム名は、Kerberos クライアントが DNS 名を生成するために使用します。たとえば、名前が
example.com の場合、TCP を介して KDC にコンタクトする Kerberos 関連の名前は
_kerberos._tcp.EXAMPLE.COM です。
サブドメインの使用
オンプレミス環境にインストールされた VMware Identity Manager サービスは、
VMware Identity Manager FQDN サブドメインを使用できます。VMware Identity Manager サイトが複数
の DNS ドメインにアクセスする場合は、ドメインを location1.example.com、location2.example.com、
location3.example.com のように設定します。このとき、小文字で指定される example.com がサブドメイン
の値となります。環境でサブドメインを構成する場合は、サービス サポート チームと連携してください。
KDC サーバ証明書の使用
KDC が初期化されると、デフォルトで KDC サーバ証明書と自己署名ルート証明書が生成されます。証明
書は、KDC サーバ証明書を発行するために使用されます。このルート証明書はデバイス プロファイルに含
まれるので、デバイスは KDC を信頼できます。
VMware, Inc. 103
KDC サーバ証明書は、エンタープライズ ルートまたは中間証明書を使用して手動で生成できます。この機
能の詳細については、サービス サポート チームにお問い合わせください。
KDC サーバ ルート証明書を VMware Identity Manager 管理コンソールからダウンロードして、iOS デバイ
ス管理プロファイルの AirWatch 構成で使用できます。
この章では次のトピックについて説明します。
n アプライアンスのキー配布センターの初期化 (P. 104)
n 組み込みの Kerberos が使用する KDC 用パブリック DNS エントリの作成 (P. 105)
アプライアンスのキー配布センターの初期化
iOS 版モバイル SSO 認証を使用するには、まず VMware Identity Manager アプライアンスでキー配布セン
ター (KDC) を初期化する必要があります。
KDC を初期化するには、VMware Identity Manager ホスト名を Kerberos レルムに割り当てます。ドメイ
ン名は大文字で入力します。複数の Kerberos レルムを構成している場合は、レルムを特定しやすくするた
めに、Identity Manager のドメイン名で終わる分かりやすい名前を使用してください。たとえば、
SALES.MY-IDENTITYMANAGER.EXAMPLE.COM のように入力します。サブドメインを構成する場合
は、サブドメイン名を小文字で入力します。
開始する前に
VMware Identity Manager がインストールされ、構成されていること。
レルム名が特定されていること。第 8 章組み込み KDC の使用 (P. 103)を参照してください。
手順
1 SSH 接続を使用して、VMware Identity Manager アプライアンスに root ユーザーとしてログインしま
す。
2 KDC を初期化します。/etc/init.d/vmware-kdc init --realm {REALM.COM} --subdomain {sva-
name.subdomain} と入力します。
次に例を示します。/etc/init.d/vmware-kdc init --realm MY-IDM.EXAMPLE.COM --subdomain my-
idm.example.com
複数の Identity Manager アプライアンスにロード バランサを使用している場合、ロード バランサの名
前には大文字と小文字の両方を使用します。
3 VMWare Identity Manager サービスを再起動します。service horizon-workspace restart と入力しま
す。
4 KDC サービスを起動します。service vmware-kdc restart と入力します。
次に進む前に
パブリック DNS エントリを作成します。クライアントが KDC を見つけることができるように、DNS レコードのプロビジョニングを行う必要があります。組み込みの Kerberos が使用する KDC 用パブリック
DNS エントリの作成 (P. 105)を参照してください。
Installing and Configuring VMware Identity Manager
104 VMware, Inc.
組み込みの Kerberos が使用する KDC 用パブリック DNS エントリの作成
VMware Identity Manager で KDC を初期化した後は、組み込みの Kerberos 認証機能が有効な場合に
Kerberos クライアントが KDC を検索できるように、パブリック DNS レコードを作成する必要がありま
す。
KDC サービスの検出に使用される VMware Identity Manager アプライアンス エントリの DNS 名の一部と
して、KDC レルム名が使用されます。各 VMware Identity Manager サイトおよび 2 つの A アドレス エン
トリに対して、SRV DNS レコードが 1 つ必要です。
注意 AAAA エントリ値は、IPv4 アドレスをエンコードする IPv6 アドレスです。KDC が IPv6 アドレスを
名前解決できず、IPv4 アドレスが使用される場合、DNS サーバでは、AAAA エントリを厳密な IPv6 表記
の ::ffff:175c:e147 として指定する必要があります。Neustar. UltraTools などの IPv4 から IPv6 への変換
ツールを使用すると、IPv4 を IPv6 アドレス表記に変換できます。
例: KDC 用の DNS レコード エントリ
次に示す DNS レコードの例では、レルムが EXAMPLE.COM、VMware Identity Manager の完全修飾ドメイン
名が idm.example.com、VMware Identity Manager IP アドレスが 1.2.3.4 です。
idm.example.com. 1800 IN AAAA ::ffff:1.2.3.4
idm.example.com. 1800 IN A 1.2.3.4
_kerberos._tcp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.
_kerberos._udp.EXAMPLE.COM IN SRV 10 0 88 idm.example.com.
第 8 章 組み込み KDC の使用
VMware, Inc. 105
Installing and Configuring VMware Identity Manager
106 VMware, Inc.
インストールおよび構成のトラブルシューティング 9
トラブルシューティングのトピックでは、VMware Identity Manager のインストールまたは構成で発生す
る可能性がある問題の解決策を説明します。
この章では次のトピックについて説明します。
n ロード バランシングされた環境で、ユーザーがアプリケーションを起動できない、または不適切な認
証方法が適用されている (P. 107)
n ディレクトリの同期後にグループにメンバーが表示されない (P. 108)
n Elasticsearch のトラブルシューティング (P. 108)
ロード バランシングされた環境で、ユーザーがアプリケーションを起動できない、または不適切な認証方法が適用されている
ロード バランシングされた環境で、ユーザーが Workspace ONE ポータルからアプリケーションを起動で
きないか、不適切な認証方法が適用されています。
問題
ロード バランシングされた環境では、次のような問題が発生することがあります。
n ユーザーがログイン後に Workspace ONE ポータルからアプリケーションを起動できない。
n ステップアップ認証で、不適切な認証方法がユーザーに指定されている。
原因
これらの問題は、アクセス ポリシーが誤って設定されている場合に発生することがあります。ログイン中
およびアプリケーション起動中に適用されるアクセス ポリシーは、クライアント IP アドレスによって決ま
ります。ロード バランシングされた環境では、VMware Identity Manager は X-Forwarded-For ヘッダーを
使用してクライアント IP アドレスを決定します。場合によってはエラーが発生することがあります。
解決方法
VMware Identity Manager クラスタに含まれる各ノードで、runtime-config.properties ファイルの
service.numberOfLoadBalancers プロパティを設定します。このプロパティでは、
VMware Identity Manager インスタンスに接続するロード バランサの数を指定します。
注意 このプロパティの設定は省略できます。
1 VMware Identity Manager アプライアンスにログインします。
2 /usr/local/horizon/conf/runtime-config.properties ファイルを編集し、次のプロパティを追加しま
す。
VMware, Inc. 107
service.numberOfLoadBalancers numberOfLBs
ここで、numberOfLBs は、VMware Identity Manager インスタンスに接続されるロード バランサの数で
す。
3 Workspace アプライアンスを再起動します。
service horizon-workspace restart
ディレクトリの同期後にグループにメンバーが表示されない
ディレクトリが正常に同期されましたが、同期されたグループにユーザーがまったく表示されません。
問題
ディレクトリが手動または同期スケジュールに基づいて自動で同期された後に、同期が正常に完了します
が、同期されたグループにユーザーがまったく表示されません。
原因
この問題は、クラスタに 2 つ以上のノードがあり、ノード間で 5 秒以上の時刻の差がある場合に発生しま
す。
解決方法
1 ノード間で時刻の差がないことを確認します。クラスタ内のすべてのノードで同じ NTP サーバを使用
し、時刻を同期させます。
2 すべてのノードでサービスを再起動します。
service horizon-workspace restart
3 (オプション)管理コンソールで、グループを削除し、同期設定で再度追加して、ディレクトリを再同
期します。
Elasticsearch のトラブルシューティング
この情報を使用して、クラスタ環境の Elasticsearch の問題をトラブルシューティングします。監査、レ
ポート、ディレクトリ同期ログに使用される検索および分析エンジンである Elasticsearch が、VMwareIdentity Manager 仮想アプライアンスに組み込まれています。
Elasticsearch のトラブルシューティング
Elasticsearch の健全性は、VMware Identity Manager アプライアンスで次のコマンドを使用して確認でき
ます。
curl 'http://localhost:9200/_cluster/health?pretty'
このコマンドによって、次のような結果が返されます。
{
"cluster_name" : "horizon",
"status" : "green",
"timed_out" : false,
"number_of_nodes" : 3,
"number_of_data_nodes" : 3,
"active_primary_shards" : 20,
"active_shards" : 40,
"relocating_shards" : 0,
"initializing_shards" : 0,
"unassigned_shards" : 0,
Installing and Configuring VMware Identity Manager
108 VMware, Inc.
"delayed_unassigned_shards" : 0,
"number_of_pending_tasks" : 0,
"number_of_in_flight_fetch" : 0
}
Elasticsearch が正しく起動しないか、ステータスが赤色の場合は、次の手順でトラブルシューティングして
ください。
1 ポート 9300 が開いていることを確認します。
a クラスタ内のすべてのノードの IP アドレスを /usr/local/horizon/scripts/updateiptables.hznファイルに追加し、ノードの詳細を更新します。
ALL_IPS="node1IPadd node2IPadd node3IPadd"
b クラスタ内のすべてのノードで次のスクリプトを実行します。
/usr/local/horizon/scripts/updateiptables.hzn
2 クラスタのすべてのノードで Elasticsearch を再起動します。
service elasticsearch restart
3 ログで詳細を確認します。
cd /opt/vmware/elasticsearch/logs
tail -f horizon.log
第 9 章 インストールおよび構成のトラブルシューティング
VMware, Inc. 109
Installing and Configuring VMware Identity Manager
110 VMware, Inc.
Index
AActive Directory
属性マッピング 51統合 Windows 認証 43連携 45
Active Directory グローバル カタログ 45Active Directory との連携 45Active Directory の追加 53Active Directory パスワードの変更 58Active Directory パスワードのリセット 58AD パスワードの変更 58appliance configurator, 設定 32
Cconnector-va 79
Ddatabase 15DNS, TTL 設定 94DNS サーバ リダイレクト 94DNS サービス ロケーション ルックアッ
プ 47–49DNS の TTL 設定 94DNS の逆引き 15DNS の正引き 15domain_krb.properties のトラブルシューティン
グ 50domain_krb.properties ファイル 47–49
EEhcache 89, 92Elasticsearch 89, 92Elasticsearch のトラブルシューティング 108external database, Configurator 35
FFQDN 38FQDN を変更 38
Ggateway-va 79
Hhardware
ESX 11requirements 11
HTTP プロキシ 30, 78hznAdminTool、リソースのフェイルオー
バー 93
IIdP ホスト名 39IP プール 21
JJDBC, セカンダリ データセンターでの変更 92
KKDC
DNS エントリの作成 105Identity Manager での初期化 104
KDC サーバ署名書 103KDC サービス用 DNS エントリ 105KDC サブドメイン 103KDC レルム 103Kerberos、組み込みの KDC 104Kerberos レルム 103
LLDAP 経由の Active Directory 43, 53LDAP ディレクトリ連携 59, 60制限事項 59
LinuxSUSE 7システム管理者 7
MMicrosoft SQL データベース 32
Nnetwork configuration, requirements 11
OOracle データベース 34OVA ファイルインストール 19展開 19
OVA のインポート 91
RRabbitMQ 92
VMware, Inc. 111
RabbitMQ のトラブルシューティング 108runtime-config.properties ファイル 48, 92
Sservice-va 79, 81service.numberOfLoadBalancers プロパ
ティ 107siteaware.subnet プロパティ 48SMTP サーバ 16, 41SRV ルックアップ 47–49SSL 証明書, 主要証明機関 77SUSE Linux 7syslog サーバ 39
VvCenter, 認証 16virtual appliance, requirements 11VMware Identity Manager サービス URL 38
WWindows, システム管理者 7Workspace ポータル, OVA 100
XX-forwarded-for ヘッダー 75
Installing and Configuring VMware Identity Manager
112 VMware, Inc.
