Manager Connector VMware Identity 19.03.0.0 (Windows) の …...内容 VMware Identity Manager Connector 19.03.0.0 (Windows) のインストールと構成 5 1 VMware Identity Manager

VMware IdentityManager Connector19.03.0.0 (Windows) のインストールと構成

2019 年 4 月VMware Identity ManagerVMware Identity Manager 19.03

VMware Identity Manager Connector 19.03.0.0 (Windows) のインストールと構成

VMware, Inc. 2

VMware Web サイトで最新の技術ドキュメントをご確認いただけます。

https://docs.vmware.com/jp/

VMware の Web サイトでは、最新の製品アップデートを提供しています。

本書に関するご意見、ご要望をお寄せください。フィードバック送信先：

[email protected]

Copyright © 2018、2019 VMware, Inc. All rights reserved. 著作権および商標.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社

105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

https://docs.vmware.com/jp/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

内容

VMware Identity Manager Connector 19.03.0.0 (Windows) のインストールと構成 5

1 VMware Identity Manager Connector について 6

2 Windows に VMware Identity Manager Connector をインストールするための準備 8

VMware Identity Manager Connector (Windows) のシステム要件 8

VMware Identity Manager Connector (Windows) の展開チェックリスト 12

3 Windows への VMware Identity Manager Connector のインストール 14

VMware Identity Manager Connector のアクティベーションコードの生成 14

VMware Identity Manager Connector インストーラの実行 15

VMware Identity Manager コネクタセットアップウィザードの実行 22

VMware Identity Manager Connector のプロキシ設定を行う 23

4 VMware Identity Manager Connector の構成 25

ディレクトリのセットアップ 25

VMware Identity Manager Connector で認証アダプタを有効にする 26

VMware Identity Manager Connector で送信モードを有効にする 28

5 VMware Identity Manager コネクタの高可用性環境の構成 31

追加の VMware Identity Manager Connector インスタンスのインストールと構成 32

認証の高可用性環境の構成 33

ディレクトリ同期の高可用性の構成 34

6 VMware Identity Manager Connector の展開環境への Kerberos 認証サポートの追加 37

Kerberos 認証アダプタの構成と有効化 38

Kerberos 認証の高可用性環境の構成 40

7 追加の VMware Identity Manager Connector 構成 44

VMware Identity Manager Connector の SSL 証明書の使用 44

VMware Identity Manager Connector の Syslog サーバの構成 47

VMware Identity Manager コネクタのパスワードの管理 48

VMware Identity Manager Connector のプロキシ設定を行う 48

VMware Identity Manager Connector ログファイルの表示とダウンロード 49

VMware Identity Manager Connector (Windows) の時刻同期の構成 50

8 VMware Identity Manager Connector のアップグレード (Windows) 52

VMware, Inc. 3

9 VMware Identity Manager Connector サーバでの Java のアップグレード 53

10 VMware Identity Manager Connector インスタンスの削除 54

11 ACC から VMware Identity Manager Connector へのディレクトリの移行 55

他のディレクトリを LDAP 経由の Active Directory または統合 Windows 認証経由の Active Directory に変

換する 55

Workspace ONE UEM から VMware Identity Manager へのディレクトリ同期の停止 57

12 VMware Identity Manager Connector のトラブルシューティング 59

VMware Identity Manager Connector の管理者ユーザーパスワードのリセット 59

Kerberos 初期化エラー 59


VMware, Inc. 4

VMware Identity Manager Connector 19.03.0.0(Windows) のインストールと構成

『VMware Identity Manager Connector 19.03.0.0 (Windows) のインストールと構成』では、VMware IdentityManager のオンプレミスコンポーネントである VMware Identity Manager™ Connector の Windows 版のインストールと構成について説明します。

注: Linux バージョンの VMware Identity Manager Connector の展開の詳細については、クラウド展開の場合は『VMware Identity Manager Cloud の展開』、オンプレミス展開の場合は『DMZ での VMware Identity Managerのデプロイ』を参照してください。

対象者

本書に記載されている内容は、仮想マシンテクノロジーおよびデータセンターの運用に精通している経験豊富なWindows システム管理者向けに書かれています。

VMware, Inc. 5

VMware Identity Manager Connectorについて 1VMware Identity Manager Connector は、ディレクトリ統合、ユーザー認証、および Horizon 7 などのリソースとの統合を提供する VMware Identity Manager のオンプレミスコンポーネントです。

コネクタは送信接続モードで展開されるため、受信ポート 443 を開く必要はありません。WebSocket ベースの通信チャネルを介して VMware Identity Manager サービスと通信します。

図 1‑1. VMware Identity Manager Connector の展開

要求応答

VMware Identity Manager テナント

Websocket チャネル

HTTPS 443（送信専用）

Active Directory/

LDAP

VMware IdentityManager Connector

オンプレミス

オプションのサービス

IntegrationBroker

Citrix Farm

View 接続サーバ

RSA SecurID

RSA Adaptive Auth

RADIUSサーバ

11

2

3

注: 図に示す VMware Identity Manager テナントは、クラウド環境に展開することも、オンプレミス環境に展開することもできます。

VMware, Inc. 6

サポートされる認証方法

VMware Identity Manager Connector では、次の認証方法がサポートされています。

n パスワード

n RSA Adaptive Authentication

n RSA SecurID

n RADIUS

n 内部ユーザー用の Kerberos 認証

注: これらのコネクタベースの認証方法に加えて、VMware Identity Manager サービスベースの認証方法も利用できます。さらに、サードパーティの ID プロバイダを介したインバウンド SAML を使用できます。

サポートされるディレクトリ統合

VMware Identity Manager Connector は、次のタイプのエンタープライズディレクトリとの統合をサポートします。

n LDAP 経由の Active Directory

n 統合 Windows 認証を使用する Active Directory

n LDAP ディレクトリ

注: また、ジャストインタイムプロビジョニングを使用し、サードパーティ ID プロバイダから送信された SAMLアサーションを使用して、ログイン時に動的に VMware Identity Manager サービスでユーザーを作成できます。

サポートされるリソース

VMware Identity Manager Connector は、次のタイプのリソースとの統合をサポートします。

n VMware Horizon® 7、Horizon 6 または View デスクトッププールおよびアプリケーションプール

n VMware Horizon® Cloud Service™ with Hosted and On-Premises Infrastructure（クラウドホスト型およびオンプレミス型）

n Citrix 公開リソース

注: さらに、VMware Identity Manager は Web アプリケーションとネイティブモバイルアプリをサポートします。


VMware, Inc. 7

Windows に VMware IdentityManager Connector をインストールするための準備 2VMware Identity Manager Connector を展開する前に、システム要件を確認し、環境を準備します。

この章には、次のトピックが含まれています。

n VMware Identity Manager Connector (Windows) のシステム要件

n VMware Identity Manager Connector (Windows) の展開チェックリスト

VMware Identity Manager Connector (Windows) のシステム要件VMware Identity Manager Connector を展開するには、ご使用のシステムが必要な要件を満たしていることを確認します。

ハードウェア要件

Windows Server が次のハードウェア要件を満たしていることを確認します。

表 2‑1. VMware Identity Manager Connector の要件

ユーザー数 1000 まで 1000～10,000 10,000～25,000 25,000～50,000 50,000～100,000

CPU 2 それぞれ 4 CPU の 2台のロードバランシングされたサーバ

それぞれ 4 CPU の 2台のロードバランシングされたサーバ

それぞれ 4 CPU の 2台のロードバランシングされたサーバ

それぞれ 4 CPU の 2 台のロードバランシングされたサーバ

サーバあたりの RAM(GB)

6 各 6 各 8 各 16 各 16

ディスク容量 (GB) 50 各 50 各 50 各 50 各 50

注: n CPU コアはそれぞれ、2.0 GHz 以上である必要があります。Intel プロセッサが必要です。

n ディスク容量の要件には以下が含まれます：VMware Identity Manager Connector アプリケーション、Windows OS、および .NET ランタイムに対して 1 GB ディスク容量。追加ディスク容量がログのために割り当てられます。

ソフトウェア要件

Windows Server が次のソフトウェア要件を満たしていることを確認します。

VMware, Inc. 8

ステータスのチェックリ

スト要件メモ

Windows Server 2008 R2 または

Windows Server 2012 または

Windows Server 2012 R2 または

Windows Server 2016

PowerShell をサーバにインストールする注: Windows Server 2008 R2 にインストールしている場合は、PowerShell バージョン 4.0 が必要です。

.NET Framework 4.6.2 をインストールする

ネットワーク要件

以下のポートを構成するために、すべてのトラフィックはソースコンポーネントからターゲットコンポーネントへの一方向（アウトバウンド）です。

アウトバウンドプロキシまたはその他の接続管理ソフトウェアやハードウェアは、VMware Identity ManagerConnector からのアウトバウンド接続を終了または拒否してはなりません。VMware Identity Manager Connectorでの使用に必要なアウトバウンド接続は常にオープンになっている必要があります。

表 2‑2. VMware Identity Manager Connector ポートの要件

vCenter Server の IP アドレスターゲットポートプロトコルメモ


VMware Identity Managerサービス

VMware Identity Managerサービスホスト（オンプレミスのインストール）

443 HTTPS デフォルトポート

必須


VMware Identity Managerサービスロードバランサ（オンプレミスのインストール）

443 HTTPS

ブラウザ VMware Identity ManagerConnector

8443 HTTPS 管理ポート

必須


80 HTTP 必須


443 HTTPS このポートはインバウンド

モードで使用されるコネクタ

にのみ必要です。

Kerberos 認証がコネクタで構成されている場合は、この

ポートが必要です。


Active Directory 389、636、3268、3269

デフォルトポート。これらのポートは構成可能です。


VMware, Inc. 9

表 2‑2. VMware Identity Manager Connector ポートの要件 (続き)

vCenter Server の IP アドレスターゲットポートプロトコルメモ


DNS サーバ 53 TCP/UDP すべてのインスタンスは、

ポート 53 で DNS サーバにアクセスでき、ポート 22 で着信 SSH トラフィックを許可する必要があります。


ドメインコントローラ 88、464、135、445

TCP/UDP Kerberos 認証の場合


RSA SecurID システム 5500 デフォルトポート。このポートは設定可能です。


Horizon Connection Server 389、443 Horizon との統合のためのHorizon ConnectionServer インスタンスへのアクセス


Integration Broker 80、443 Citrix 公開リソースとの統合用 Integration Broker にアクセスします。

重要: VMware IdentityManager Connector と同じ Windows Server にIntegration Broker をインストールする場合、IISServer Default Web Site サイトバインドで、HTTP および HTTPS バインドポートがVMware IdentityManager Connector で使用されるポートと競合しない

ことを確認する必要がありま

す。

VMware IdentityManager Connector は、ポート 80、443、および8443 を使用します。

Integration Broker をVMware IdentityManager Connector サーバにインストールすることは

お勧めしません。


Syslog サーバ 514 UDP 外部 Syslog サーバ用（構成されている場合）

VMware Identity Manager クラウドホスト型 IP アドレス

（クラウド展開）VMware Identity Manager Connector がアクセス権を持つ必要がある VMware Identity Managerサービス IP アドレスのリストについては、ナレッジベースの記事 KB2149884 を参照してください。


VMware, Inc. 10

https://kb.vmware.com/kb/2149884

DNS レコードおよび IP アドレスの要件

コネクタで DNS エントリおよび固定 IP アドレスが利用できる必要があります。インストールを開始する前に、使用する DNS レコードと IP アドレスを取得し、Windows Server のネットワーク設定を行います。

Kerberos 認証を構成する場合、コネクタには適切でわかりやすいホスト名を選択します。VMware Identity ManagerConnector のホスト名は、Kerberos を構成するときにエンドユーザーに表示されます。

オプションで逆引きの構成が可能です。逆引きを実装する場合には、DNS サーバに PTR レコードを定義して、コネクタが正しいネットワーク構成を使用するようにする必要があります。

以下の DNS レコードのサンプルリストを使用できます。サンプルリストの情報を、それぞれの環境に合わせて書き換えてください。次のサンプルには、DNS の正引きレコードと IP アドレスが記載されています。

表 2‑3. DNS の正引きレコードと IP アドレスの例

ドメイン名リソースタイプ IP アドレス

myconnector.company.com A 10.28.128.3

次のサンプルには、DNS の逆引きレコードと IP アドレスが記載されています。

表 2‑4. DNS の逆引きレコードと IP アドレスの例

IP アドレスリソースタイプホスト名

10.28.128.3 PTR myconnector.company.com

DNS 構成の終了後に、DNS の逆引きが正しく構成されていることを確認します。たとえば、コマンド host

IPaddress は DNS 名を解決する必要があります。

注: 仮想 IP アドレス (VIP) が DNS サーバの前にあるロードバランサを使用している場合、VMware Identity Managerは、VIP の使用をサポートしません。複数の DNS サーバをカンマ区切りで指定できます。

注: Unix/Linux ベースの DNS サーバを使用していて、コネクタを Active Directory ドメインに参加させる予定がある場合は、Active Directory ドメインコントローラごとに適切なサービス (SRV) リソースレコードが作成されていることを確認します。

時刻同期

VMware Identity Manager 展開環境を正しく機能させるには、すべての VMware Identity Manager サービスとコネクタのインスタンスで時刻同期を構成する必要があります。

VMware Identity Manager Connector の時刻同期の構成については、「VMware Identity Manager Connector(Windows) の時刻同期の構成」を参照してください。

VMware Identity Manager サービスの時刻同期の構成の詳細については、『Linux 版 VMware Identity Managerのインストールと構成』および『Windows 版 VMware Identity Manager のインストールと構成』を参照してください。


VMware, Inc. 11

サポートされている Active Directory のバージョン

単一 Active Directory ドメイン、単一 Active Directory フォレストの複数のドメイン、または複数の Active Directoryフォレスト全体の複数のドメインから構成される Active Directory 環境がサポートされています。

VMware Identity Manager では、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、および Windows Server 2016 用の Active Directory をサポートしています。ドメイン機能レベルおよびフォレスト機能レベルは、Windows Server 2003 以降です。

注: 一部の機能については、より上位の機能レベルが要求されることがあります。たとえば、ユーザーが WorkspaceONE から Active Directory パスワードを変更できるようにするには、ドメイン機能レベルが Windows Server 2008以降である必要があります。

VMware Identity Manager Connector (Windows) の展開チェックリスト

展開チェックリストを使用して、Windows 上に VMware Identity Manager Connector をインストールして構成するために必要な情報を収集できます。

完全修飾ドメイン名情報

収集する情報情報を記入

VMware Identity Manager Connector の FQDN

ネットワーク情報


IP アドレス注: DNS サーバに PTR および A レコードが定義されている、固定 IPアドレスを使用する必要があります。

DNS のホスト名

デフォルトゲートウェイアドレス

ネットマスクまたはプリフィックス

ディレクトリ情報

VMware Identity Manager は Active Directory または LDAP ディレクトリとの統合をサポートします。

表 2‑5. Active Directory ドメインコントローラ情報チェックリスト


Active Directory サーバ名

Active Directory ドメイン名

ベース DN


VMware, Inc. 12

表 2‑5. Active Directory ドメインコントローラ情報チェックリスト (続き)


LDAP 経由の Active Directory の場合、バインド DN ユーザー名とパスワード

統合 Windows 認証経由の Active Directory の場合、インストールしている Windows サーバ上の管理者グループにも属するドメインユーザーのユーザー名とパスワード。

表 2‑6. LDAP ディレクトリサーバ情報チェックリスト


LDAP ディレクトリサーバ名または IP アドレス

LDAP ディレクトリサーバのポート番号

ベース DN

バインド DN ユーザー名とパスワード

バインドユーザーオブジェクト、グループオブジェクト、およびユーザーオブジェクトの LDAP 検索フィルタ

メンバーシップ、オブジェクト UUID および識別名のための LDAP 属性名

SSL 証明書

VMware Identity Manager Connector を展開した後で、認証局から SSL 証明書を追加できます。

表 2‑7. SSL 証明書情報チェックリスト


SSL 証明書

プライベートキー

注: Kerberos 認証の場合、コネクタには信頼される SSL 証明書が必要です。証明書は内部の認証局から取得できます。Kerberos 認証は自己署名証明書では動作しません。


VMware, Inc. 13

Windows への VMware IdentityManager Connector のインストール 3VMware Identity Manager Connector のインストールには、いくつかのタスクが含まれています。

1 VMware Identity Manager コンソールでアクティベーションコードを生成する

2 すべての要件を満たす Windows サーバ上で VMware Identity Manager Connector インストーラをダウンロードして実行する

3 コネクタセットアップウィザードを実行してコネクタを有効にし、パスワードを設定する

4 必要に応じて、コネクタのプロキシ設定を行う


n VMware Identity Manager Connector のアクティベーションコードの生成

n VMware Identity Manager Connector インストーラの実行

n VMware Identity Manager コネクタセットアップウィザードの実行

n VMware Identity Manager Connector のプロキシ設定を行う

VMware Identity Manager Connector のアクティベーションコードの生成VMware Identity Manager Connector をインストールする前に、VMware Identity Manager コンソールにログインし、コネクタのアクティベーションコードを生成します。このアクティベーションコードは、VMware Identity Manager サービスと VMware Identity Manager Connector インスタンス間の通信を確立するために使用されます。

前提条件

VMware Identity Manager サービス URL とシステムドメインの管理者認証情報があります。クラウド展開の場合、システムドメイン管理者は、VMware Identity Manager テナントの取得時に認証情報を受け取る管理者です。オンプレミス展開の場合、システムドメイン管理者は VMware Identity Manager のインストール時に作成される管理者ユーザーです。

手順

1 システムドメインの管理者として VMware Identity Manager コンソールにログインします。

2 [ID とアクセス管理] タブをクリックします。

VMware, Inc. 14

3 [セットアップ] をクリックします。

4 [コネクタ] ページで、[Connector を追加] をクリックします。

5 コネクタの名前を入力します。

6 [アクティベーションコードを生成] をクリックします。

アクティベーションコードがページに表示されます。

7 アクティベーションコードをコピーして保存します。

後で、コネクタをインストールした後にコネクタセットアップウィザードでアクティベーションコードを入力します。

次のステップ

VMware Identity Manager Connector をダウンロードしてインストールします。

VMware Identity Manager Connector インストーラの実行すべての要件を満たす Windows サーバ上で VMware Identity Manager Connector インストーラを実行します。

前提条件

n ポート 80、443 および 8443 は、Windows サーバで使用可能である必要があります。これらのポートがその他のサービスで使用されている場合、VMware Identity Manager Connector をインストールできません。

n 次の場合、Windows サーバは Active Directory ドメインに参加する必要があり、インストールしている Windowsサーバ上の管理者グループにも属するドメインユーザーとして、VMware Identity Manager Connector をインストールする必要があります。

n 統合 Windows 認証経由の Active Directory に接続する場合


VMware, Inc. 15

n Kerberos 認証を使用する場合

これらの場合、ドメインユーザーとして IDM コネクタサービスも実行する必要があります。このオプションはインストールウィザードに表示されます。

n インストール時に、インストーラでドメインとユーザーを参照し、検証できるようにするには、次の要件を満た

す必要があります。

n Windows サーバは、ドメインに参加している必要があります。

注: これは、IDM コネクタサービスを実行するためにドメインユーザーを選択する場合にのみ必要です。要件が適用されるシナリオについては、前の箇条書きを参照してください。

n ドメインを参照するには、Computer Browser サービスを有効にして実行する必要があります。

n NetBIOS over TCP/IP を有効にする必要があります。

n マスターブラウザシステムがネットワークで構成されている必要があります。

n ブロードキャストトラフィックがネットワーク上で有効になっている必要があります。

n 組み込みコネクタをスタンドアローンコネクタに移行する場合、または Linux コネクタを Windows コネクタに移行する場合は、インストーラを実行する前に、元の展開環境から構成ファイルを生成します。このファイル

には、元のコネクタに関する構成情報が含まれます。

移行プロセスの詳細については、『VMware Identity Manager 19.03 へのアップグレード』を参照してください。

手順

1 Windows 版の VMware Identity Manager Connector インストーラをダウンロードします。

インストーラは、My VMware の VMware Identity Manager 製品ページまたは My Workspace ONE からダウンロードできます。

2 インストーラファイルをダブルクリックして、VMware Identity Manager Connector のインストールウィザードを実行します。


VMware, Inc. 16

3 [ようこそ] 画面で [次へ] をクリックします。

インストーラは、サーバ上の前提条件を確認します。.NET Framework がインストールされていない場合はインストールし、サーバを再起動するように求められます。再起動した後にインストーラを再度実行し、インストー

ルプロセスを再開します。

前のバージョンがインストールされている場合、それがインストーラで自動検出され、最新バージョンにアップ

グレードするためのオプションが提供されます。

4 VMware エンドユーザー使用許諾契約書を読んで同意し、[次へ] をクリックします。


VMware, Inc. 17

5 VMware Identity Manager Connector をインストールするフォルダを選択してください。

デフォルトでは、C:\VMware が選択されています。

6 最新のメジャーバージョンの Java Runtime Environment (JRE™) がまだ Windows サーバにインストールされていない場合は、次のポップアップが表示されます。

[はい] をクリックして JRE をインストールします。インストールには数分かかります。必要な JRE バージョンのインストール時に、既存のバージョンは削除されません。

7 [VMware Identity Manager の構成] 画面で、コネクタのホスト名とポートを入力します。

ホスト名は完全修飾ドメイン名 (FQDN) として指定します。たとえば、connector.example.com のよう

に記入します。

注: 名前はサーバが参加しているドメインと一致する必要があります（該当する場合）。

デフォルトポートは 443 です。VMware Identity Manager Connector では、443 のみがサポートされています。


VMware, Inc. 18

8 コネクタサービスをドメインユーザーアカウントとして実行する場合は、[VMware Identity ManagerConnector サービスアカウント] 画面でオプションを選択し、ドメインユーザーアカウントのユーザー名とパスワードを入力します。

次の場合にドメインユーザーとしてサービスを実行する必要があります。

n 統合 Windows 認証経由の Active Directory に接続する場合



VMware, Inc. 19

注: [参照] をクリックしてもドメインまたはユーザーを検索できない場合は、すべての前提条件を満たしていることを確認します。

9 [次へ] をクリックします。

10 新しいコネクタをインストールするのか、コネクタを移行するのかに基づいて選択を行います。

n 新しいコネクタをインストールする場合は、[コネクタを移行しますか? ] オプションの選択を解除して、[次へ] をクリックします。

n 組み込みコネクタをスタンドアローンコネクタに移行する場合、または Linux コネクタを Windows コネクタに移行する場合は、次の手順を実行します。

a [コネクタを移行しますか? ] チェックボックスをオンにします。

b [構成パッケージ (.enc)] テキストボックスに、元の展開環境から生成した構成ファイルへのパスを入力します。

c 構成ファイルの作成時に設定したパスワードを入力します。

11 [次へ] をクリックします。

12 プログラムのインストール準備画面で、[インストール] をクリックします。


VMware, Inc. 20

インストールには数分かかります。

13 インストールウィザード完了画面が表示されたら、[完了] をクリックします。

次のポップアップが表示され、コネクタのセットアップウィザードを完了するために移動する URL が表示されます。

URL は、https://<connectorhostname>:8443 のコネクタ管理画面を参照します。


VMware, Inc. 21

次のステップ

リストされた URL に移動し、コネクタのセットアップウィザードを完了します。

VMware Identity Manager コネクタセットアップウィザードの実行VMware Identity Manager Connector をインストールした後、インストールウィザードの確認画面にリストされた URL (https://<connectorhostname>:8443) に移動し、コネクタセットアップウィザードを完了します。

セットアップウィザードで、コネクタアクティベーションコードを入力し、パスワードを設定します。

前提条件

n VMware Identity Manager コンソールで生成したコネクタのアクティベーションコードがあること。「VMwareIdentity Manager Connector のアクティベーションコードの生成」を参照してください。

n セットアップウィザードを実行する場合、Internet Explorer を拡張保護モードで使用しないでください。ブラウザ上でスクリプティングが有効になっている必要があります。

手順

1 ブラウザウィンドウを開き、URL https://<connectorhostname>:8443 に移動します。

たとえば、https://connector.example.com:8443 のようになります。

ようこそ画面が表示されます。

2 [続行] をクリックします。

3 [パスワードの設定] ページで、コネクタの管理者画面にアクセスするために使用するコネクタの [admin] ユーザーのパスワードを作成します。

次に、[続行] をクリックします。


VMware, Inc. 22

4 [コネクタのアクティベーション] 画面で、コネクタのアクティベーションコードを入力して、[続行] をクリックします。

コネクタが正常にアクティブ化されると、「セットアップが完了しました」というメッセージが表示されます。

VMware Identity Manager Connector インストールが完了しました。

次のステップ

n 必要に応じて、VMware Identity Manager Connector のプロキシ設定を行います。

n VMware Identity Manager コンソールにログインしてコネクタを構成します。

VMware Identity Manager Connector のプロキシ設定を行うVMware Identity Manager Connector は、インターネット上で Web サービスにアクセスします。HTTP プロキシを使用するインターネットアクセスをネットワーク構成で指定している場合は、VMware Identity ManagerConnector でプロキシ設定を調整する必要があります。

注: インターネットトラフィックのみを処理するプロキシを有効にします。プロキシが正しく設定されていることを確認するために、ドメイン内の内部トラフィック用のパラメータを [no-proxy] に設定します。


VMware, Inc. 23

手順

1 ブラウザを使用して、https://<connectorhostname>:8443/cfg/login の VMware Identity ManagerConnector 管理画面に移動します。

2 コネクタの [admin] ユーザーパスワードでログインします。

3 [プロキシ構成] をクリックします。

4 [有効] を選択します。

5 [ポートが指定されたプロキシホスト] テキストボックスに、プロキシサーバのホスト名とポートを入力します。

例： proxy.example.com:3128

6 [プロキシを経由しないホスト] フィールドに、プロキシサーバを経由せずにコネクタがアクセスできるホストを入力します。

ホスト名のリストを区切るにはカンマを使用します。

7 [保存] をクリックします。


VMware, Inc. 24

VMware Identity Manager Connectorの構成 4VMware Identity Manager Connector をインストールした後、VMware Identity Manager コンソールにログインして構成を完了します。これには、ユーザーとグループを VMware Identity Manager サービスに同期させるディレクトリの設定、使用する認証方法の設定、VMware Identity Manager Connector の送信モードの有効化が含まれます。


n ディレクトリのセットアップ

n VMware Identity Manager Connector で認証アダプタを有効にする

n VMware Identity Manager Connector で送信モードを有効にする

ディレクトリのセットアップ

VMware Identity Manager Connector をインストールして有効にした後、VMware Identity Manager コンソールにディレクトリを追加し、エンタープライズディレクトリとの接続を確立してユーザーとグループをサービスに同期します。

VMware Identity Managerは、次の種類のディレクトリとの統合をサポートします。

n LDAP 経由の Active Directory

n 統合 Windows 認証を使用する Active Directory

n LDAP ディレクトリ

ディレクトリをセットアップする前の詳細については、『VMware Identity Managerとのディレクトリ統合』を参照してください。高水準のタスクがここに一覧表示されます。

前提条件

前提条件は、統合するディレクトリのタイプによって異なります。詳細については、『VMware Identity Managerとのディレクトリ統合』を参照してください。

手順

1 VMware Identity Manager コンソールにログインします。

ヒント: コネクタをアクティブ化した後に表示される [セットアップが完了しました] ページの [管理コンソールにログインします] リンクをクリックして管理コンソールに移動することもできます。

VMware, Inc. 25

2 ディレクトリに同期するユーザー属性を選択します。

a [ID とアクセス管理] タブをクリックし、続いて [セットアップ] をクリックします。

b [ユーザー属性] タブで、必須属性を選択し、必要に応じて属性を追加します。

属性に必須のマークが付いている場合は、その属性を持つユーザーのみがサービスに同期されます。

重要: 次の制限を認識しておく必要があります。

n ディレクトリが作成されると、属性をオプションから必須に変更することはできません。その選択は、

この時点で行う必要があります。

n [ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されます。属性を必須にする場合は、他のディレクトリへの影響を考慮してください。

3 [管理] をクリックします。

4 [ディレクトリを追加] をクリックして、追加するディレクトリの種類を選択します。

5 ウィザードに従って、ディレクトリ構成情報を入力し、同期するグループとユーザーを選択し、ユーザーを

VMware Identity Managerサービスと同期します。

詳細については、『VMware Identity Managerとのディレクトリ統合』を参照してください。

次のステップ

[ユーザーとグループ] タブをクリックし、ユーザーが同期されていることを確認します。

VMware Identity Manager Connector で認証アダプタを有効にするPasswordIdpAdapter、RSAAIdpAdapter、SecurIDAdapter、RadiusAuthAdapter など、いくつかの認証アダプタを送信モードの VMware Identity Manager Connectorで使用できます。使用するアダプタを構成して有効にします。

すでにディレクトリを作成している場合は、パスワード認証方法が自動的に有効になります。PasswordIdpAdapterはディレクトリに対して入力した情報で構成されました。

手順

1 VMware Identity Managerコンソールで、[ID とアクセス管理] タブをクリックします。

2 [セットアップ] をクリックし、[コネクタ] タブをクリックします。

展開したコネクタが表示されます。

3 [ワーカー] 列のリンクをクリックします。

4 [認証アダプタ] タブをクリックします。

コネクタで使用可能なすべての認証アダプタが表示されます。

すでにディレクトリをセットアップしている場合、PasswordIdpAdapter は、ディレクトリを作成したとき指定した構成情報を使用して、すでに構成され有効になっています。


VMware, Inc. 26

5 各リンクをクリックし、構成情報を入力して、使用する認証アダプタを構成して有効にします。少なくとも 1 つの認証アダプタを有効にする必要があります。

特定の認証アダプタの構成については、『VMware Identity Manager の管理』ガイドを参照してください。

例：


VMware, Inc. 27

VMware Identity Manager Connector で送信モードを有効にするVMware Identity Manager Connectorで送信専用接続モードを有効にするには、コネクタを組み込み ID プロバイダに関連付けます。

組み込み ID プロバイダは、VMware Identity Managerサービスにおいてデフォルトで使用でき、VMware Verifyなどの組み込みの認証方法が追加で提供されます。組み込み ID プロバイダについては、『VMware Identity Managerの管理』ガイドを参照してください。

注: コネクタは、送信および通常モードの両方で同時に使用できます。送信モードを有効にした場合でも、認証方法とポリシーを使用して内部ユーザーのための Kerberos 認証を構成できます。

手順

1 VMware Identity Manager コンソールで、[ID とアクセス管理] タブを選択してから、[管理] をクリックします。

2 [ID プロバイダ] タブをクリックします。

3 [組み込み] リンクをクリックします。

4 以下の情報を入力します。

オプション説明

ユーザー組み込み ID プロバイダを使用するディレクトリまたはドメインを選択します。

ネットワーク組み込み ID プロバイダを使用するネットワーク範囲を選択します。

コネクタ設定したコネクタを選択し、[コネクタを追加] をクリックします。

注: 後で、高可用性のために別のコネクタを追加する場合、ここでこれらすべてのコネクタを選択および追加し、組み込み ID プロバイダに関連付けます。VMware Identity Managerは、組み込み ID プロバイダに関連付けられているすべてのコネクタにトラフィックを自動的に配信します。ロードバランサは不要です。

コネクタの認証方法コネクタで有効にした認証方法が表示されます。使用する認証方法を選択します。

PasswordIdpAdapter は、ディレクトリを作成するときに自動的に構成および有効にされます。PasswordIdpAdapter は、[パスワード（クラウド展開）] としてこの画面に表示され、送信モードのコネクタと使用されていることが示されます。

例：


VMware, Inc. 28

5 [保存] をクリックして、組み込み ID プロバイダの構成を保存します。

6 有効にした認証方法を使用するようにポリシーを編集します。

a [ID とアクセス管理] タブで、[管理] をクリックします。

b [ポリシー] タブをクリックして、編集するポリシーをクリックします。

c [編集] をクリックします。

d ウィザードの [構成] 画面で、ルールを編集します。各ルールで使用する認証方法を選択します。

e 変更を保存します。

ポリシー構成の詳細については、『VMware Identity Manager の管理』ガイドを参照してください。


VMware, Inc. 29

これで、コネクタの送信モードが有効になりました。組み込み ID プロバイダのページでコネクタで有効にした認証方法のいずれかを使用してユーザーがログインする場合、コネクタへの HTTP リダイレクトは不要になります。


VMware, Inc. 30

VMware Identity Manager コネクタの高可用性環境の構成 5クラスタに複数のコネクタインスタンスを追加して、VMware Identity Manager Connector の高可用性を設定できます。何らかの理由でコネクタインスタンスのいずれかが利用不能になっても、他のインスタンスを引き続き使用できます。

クラスタを作成するには、新しいコネクタインスタンスをインストールし、最初のコネクタでセットアップした方法と全く同じ方法でそれらを構成します。

次に、すべてのコネクタインスタンスを組み込み ID プロバイダに関連付けます。VMware Identity Manager サービスは、組み込み ID プロバイダに関連付けられているすべてのコネクタにトラフィックを自動的に配信します。ロードバランサは不要です。たとえば、ネットワークの問題でコネクタの 1 つが使用できなくなると、このサービスはそのコネクタにトラフィックを送信しなくなります。接続できるようになると、サービスはコネクタへのトラフィック

送信を再開します。

コネクタククラスタを設定し、すべてのコネクタを組み込み ID プロバイダに関連付けると、コネクタで有効にした認証方法の可用性が高くなります。いずれかのコネクタインスタンスが利用できなくなっても、引き続き認証することができます。

ディレクトリ同期の高可用性を設定するには、すべてのコネクタインスタンスをディレクトリに関連付け、そのディレクトリの同期コネクタリストを設定します。同期コネクタリスト内のコネクタは、フェイルオーバーの順序に並べ替えられます。VMware Identity Manager サービスは、ディレクトリ同期のためにリストの最初のコネクタを使用します。最初のコネクタが使用できない場合は、2 つ目のコネクタを使用します（以降同様）。同期コネクタリストは、ディレクトリの [同期設定] ページからディレクトリごとに設定されます。

注: このセクションの説明は、Kerberos 認証の高可用性には適用されません。章 6 「VMware Identity ManagerConnector の展開環境への Kerberos 認証サポートの追加」を参照してください。


n 追加の VMware Identity Manager Connector インスタンスのインストールと構成

n 認証の高可用性環境の構成

n ディレクトリ同期の高可用性の構成

VMware, Inc. 31

追加の VMware Identity Manager Connector インスタンスのインストールと構成最初の VMware Identity Manager Connectorインスタンスをインストールして構成した後で、新しいコネクタインスタンスをインストールし、最初のコネクタインスタンスとまったく同じ方法でこれらのインスタンスを構成して、高可用性環境向けのコネクタを追加できます。

重要: 新しいコネクタインスタンスは、最初のコネクタインスタンスと同じ VMware Identity Managerサービスに対してアクティブ化する必要があります。

前提条件

最初のコネクタインスタンスをインストールして構成していること。

手順

1 章 3 「Windows への VMware Identity Manager Connector のインストール」に従って新しい VMwareIdentity Manager Connector インスタンスをインストールして構成します。

2 新しい VMware Identity Manager Connectorを最初のコネクタインスタンスの WorkspaceIDP に関連付

けます。

a VMware Identity Manager管理コンソールで、[ID とアクセス管理] タブを選択してから、[ID プロバイダ]タブを選択します。

b [ID プロバイダ] ページで、最初のコネクタインスタンスの WorkspaceIDP を見つけ、リンクをクリック

します。

c [コネクタ] フィールドで、新しいコネクタを選択します。

d バインド DN パスワードを入力して、[Connector を追加] をクリックします。

e [保存] をクリックします。

3 新しいコネクタで認証アダプタを構成して有効にします。

重要: クラスタ内のすべてのコネクタ上の認証アダプタを同一に設定する必要があります。すべてのコネクタで同じ認証方法を有効にする必要があります。

a [ID とアクセス管理] タブで、[セットアップ] をクリックしてから、[コネクタ] タブをクリックします。

b 新しいコネクタの [ワーカー] 列のリンクをクリックします。


VMware, Inc. 32

c [認証アダプタ] タブをクリックします。

コネクタで使用可能なすべての認証アダプタが表示されます。

最初のコネクタに関連付けられているディレクトリを新しいコネクタに関連付けたため、

PasswordIdpAdapter はすでに構成され有効になっています。

d 最初のコネクタと同じ方法で他の認証アダプタを構成して有効にします。構成情報が同じであることを確認

します。

認証アダプタの構成については、『VMware Identity Manager の管理』ガイドを参照してください。

次のステップ

「認証の高可用性環境の構成」

認証の高可用性環境の構成

新しい VMware Identity Manager Connector インスタンスを展開および構成した後に、組み込み ID プロバイダに新しいインスタンスを追加し、最初のコネクタインスタンスで有効になっている認証方法と同じものを有効にすることで、認証の高可用性環境を構成します。VMware Identity Manager は、組み込み ID プロバイダに関連付けられているすべてのコネクタにトラフィックを自動的に配信します。

前提条件

追加のコネクタインスタンスをインストールして構成していること。「追加の VMware Identity Manager Connectorインスタンスのインストールと構成」を参照してください。

手順

1 VMware Identity Manager 管理コンソールの [ID とアクセス管理] タブで、[管理] をクリックします。


3 [組み込み] リンクをクリックします。

4 [コネクタ] フィールドで、ドロップダウンリストから新しいコネクタを選択し、[Connector を追加] をクリックします。

5 [コネクタ認証方法] セクションで、最初のコネクタに有効にした同じ認証方法を有効にします。

パスワード（クラウド展開）の認証方法が、自動的に構成され有効になります。他の認証方法を有効にする必要

があります。

重要: クラスタ内のすべてのコネクタ上の認証アダプタを同一に設定する必要があります。すべてのコネクタで同じ認証方法を有効にする必要があります。

特定の認証アダプタの構成については、『VMware Identity Manager の管理』を参照してください。

6 [保存] をクリックして、組み込み ID プロバイダの構成を保存します。


VMware, Inc. 33

ディレクトリ同期の高可用性の構成

ディレクトリ同期の高可用性を構成するには、追加のコネクタインスタンスをインストールした後、最初のコネクタインスタンスに関連付けられているディレクトリにそれらを関連付けます。次に、ディレクトリの同期コネクタリストを設定します。同期コネクタリスト内のコネクタは、フェイルオーバーの順序に並べ替えられます。VMware Identity Manager サービスは、リストの最初のコネクタを使用して、ディレクトリのユーザーとグループを同期します。最初のコネクタが使用できない場合は、リスト内の次のコネクタを使用します（以降同様）。

各ディレクトリには、独自の同期コネクタリストがあります。

ベストプラクティスとして、同じコネクタが同時に複数のディレクトリを同期しないように環境を設定します。次の方法を使用できます。

n ディレクトリごとに異なるコネクタのセットを使用します。

n 同じフェイルオーバーの順序で同じコネクタのセットを使用する場合は、ディレクトリごとに異なる時間の同期

をスケジュール設定します。

n 複数のディレクトリに対して同じコネクタのセットを使用する場合は、同期が同じコネクタにフォールバックし

ないように、ディレクトリごとに異なるフェイルオーバーの順序を設定します。

この機能は、VMware Identity Manager 19.03 オンプレミスリリースおよび 2019 年 4 月のクラウドリリース以降で使用できます。この機能を使用するには、すべてのコネクタをバージョン 19.03.0.0 にアップグレードしてから、この手順に従って同期コネクタリストを設定します。以下の状況を考慮してください。

n 既存のディレクトリの場合、同期コネクタリストは空です。同期コネクタリストを構成するまで、最初にディレクトリに対して構成されていたコネクタが引き続き同期に使用され、コネクタが失敗した場合フォールバック

は使用できません。

n アップグレードされた環境または新しい環境で作成された新しいディレクトリの場合、同期コネクタリストに 1つのコネクタがリストされています。このコネクタは、ディレクトリの作成時に同期コネクタとして選択したコ

ネクタです。

前提条件

n 追加のコネクタインスタンスをインストールして構成していること。「追加の VMware Identity ManagerConnector インスタンスのインストールと構成」を参照してください。

n サービスに関連付けられたすべてのコネクタは、バージョン 19.03.0.0 以降である必要があります。古いバージョンのコネクタがあると、ディレクトリの [同期設定] ページに [同期コネクタ] タブが表示されません。

手順

1 新しいコネクタインスタンスを、最初のコネクタインスタンスが関連付けられているディレクトリの WorkspaceIDP に関連付けます。

a VMware Identity Manager コンソールで、[ID とアクセス管理] タブをクリックしてから、[セットアップ]をクリックします。

b [コネクタ] ページで、最初にインストールしたコネクタインスタンスを見つけます。


VMware, Inc. 34

c その行で、高可用性を構成するディレクトリの [ID プロバイダ] 列にある [WorkspaceIDP] リンクをクリックします。

d [WorkspaceIDP] ページで、[コネクタ] セクションまでスクロールし、ドロップダウンメニューから各新しいコネクタインスタンスを選択し、[コネクタを追加] をクリックします。

e [保存] をクリックします。

2 [コネクタ] ページに戻るには、[セットアップ] をクリックします。

3 [コネクタ] ページで、[関連付けられたディレクトリ] 列のディレクトリリンクをクリックして、[ディレクトリ]ページに移動します。

4 [同期設定] をクリックします。

5 [同期コネクタ] タブをクリックします。

6 このディレクトリのユーザーとグループを同期するために使用するコネクタインスタンスを選択します。

a サービスに追加されているすべてのコネクタが表示されている [コネクタを選択] リストから、コネクタを選択して [+] アイコンをクリックします。

コネクタが [同期コネクタ] リストに追加されます。

b 同期に使用するすべてのコネクタを [同期コネクタ] リストに追加します。

c [同期コネクタ] リストで、上下の矢印キーを使用してフェイルオーバーの順序にコネクタを編成します。

ディレクトリ同期を実行するため、VMware Identity Manager はリストの最初のコネクタを使用しようとします。最初のコネクタが使用できない場合は、2 つ目のコネクタの使用を試みます（以降同様）。

例：


ディレクトリの同期コネクタのリストが保存され、次回以降の同期から適用されます。

[ディレクトリ] ページの [同期ログ] タブで、どのコネクタが同期に使用されたかを表示できます。


VMware, Inc. 35

例：


VMware, Inc. 36

VMware Identity Manager Connectorの展開環境への Kerberos 認証サポートの追加 6インバウンド接続モードが必要な内部ユーザーのための Kerberos 認証を、アウトバウンド接続モードコネクタの展開に追加できます。内部ネットワークからのユーザーの Kerberos 認証と、外部ネットワークからアクセスされるユーザーの別の認証方式に対して、同じコネクタを使用するように構成できます。これは、ネットワーク範囲に基づいて

認証ポリシーを定義することで可能です。

次の図は、オンプレミスの VMware Identity Manager 展開での Kerberos 認証を示しています。

図 6‑1. Kerberos 認証

VMware IdentityManagerサーバ

ロードバランサ

VMware IdentityManager

Connector 1

VMware IdentityManager

Connector 2

オンプレミス

DMZ エンタープライズネットワーク

443443

443

443

443

Kerberos 認証の要件と考慮事項は次のとおりです。

n Kerberos 認証は、VMware Identity Manager、LDAP 経由の Active Directory、または Active Directory（統合 Windows 認証）で設定したディレクトリのタイプに関係なく構成できます。

n VMware Identity Manager Connector がインストールされている Windows マシンは Active Directory ドメインに参加する必要があります。

n 管理者グループの一部であるドメインユーザーとして、コネクタがインストールされている Windows マシンにVMware Identity Manager Connector をインストールしておく必要があります。また Windows ドメインユーザーとして VMware IDM コネクタサービスを実行している必要があります。

n コネクタには適切でわかりやすいホスト名を選択します。VMware Identity Manager Connector のホスト名は、Kerberos 認証を構成するときにエンドユーザーに表示されます。

VMware, Inc. 37

n Kerberos 認証が構成されている各コネクタには信頼される SSL 証明書が必要です。証明書は内部の認証局から取得できます。Kerberos 認証は自己署名証明書では動作しません。

信頼される SSL 証明書は、Kerberos を単一のコネクタで有効にするのか、高可用性のために複数のコネクタで有効にするのかに関係なく必要です。

n Kerberos 認証の高可用性をセットアップするには、ロードバランサが必要です。


n Kerberos 認証アダプタの構成と有効化

n Kerberos 認証の高可用性環境の構成

Kerberos 認証アダプタの構成と有効化VMware Identity Manager Connectorで KerberosIdpAdapter を構成して有効にします。クラスタを展開して高可用性環境を構築している場合、クラスタのすべてのコネクタでこのアダプタを構成して有効にします。

重要: クラスタ内のすべてのコネクタ上の認証アダプタを同一に設定する必要があります。すべてのコネクタで同じ認証方法を構成する必要があります。

Kerberos 認証アダプタの構成時に、VMware Identity Managerコネクタは自動的に Kerberos を初期化しようとします。VMware IDM コネクタサービスが Kerberos の初期化に適切な権限で実行されていない場合、エラーメッセージが表示されます。この場合、http://kb.vmware.com/kb/2149753に記載される手順に従って、スクリプトを実行し、Kerberos を初期化します。

Kerberos 認証の構成の詳細については、『VMware Identity Manager の管理』ガイドを参照してください。

前提条件

n VMware Identity Managerコネクタがインストールされている Windows マシンはドメインに参加する必要があります。

n 管理者グループの一部であるドメインユーザーとして、コネクタがインストールされている Windows マシンにVMware Identity Manager Connector をインストールしておく必要があります。また Windows ドメインユーザーとして VMware IDM コネクタサービスを実行している必要があります。

手順

1 VMware Identity Manager管理コンソールで、[ID とアクセス管理] タブをクリックします。

2 [セットアップ] をクリックし、[コネクタ] タブをクリックします。

展開したすべてのコネクタが表示されます。

3 コネクタのいずれかの [ワーカー] 列のリンクをクリックします。

4 [認証アダプタ] タブをクリックします。


VMware, Inc. 38

http://kb.vmware.com/kb/2149753

5 [KerberosIdpAdapter] リンクをクリックし、アダプタを構成して有効にします。


名前アダプタのデフォルトの名前は、KerberosIdpAdapter です。この名前は変更できます。

ディレクトリ UID 属性ユーザー名を含むアカウントの属性。

Windows 認証を有効にするこのオプションを選択します。

リダイレクトを有効にするクラスタ内に複数のコネクタがあり、ロードバランサを使用して Kerberos の高可用性環境をセットアップする場合は、このオプションを選択し、[ホスト名をリダイレクト] に値を指定します。

お使いの環境にコネクタが 1 つしかない場合は、[リダイレクトを有効にする] および [ホスト名をリダイレクト] オプションを使用する必要はありません。

ホスト名をリダイレクト [リダイレクトを有効にする] オプションが選択されている場合は、値を指定する必要があります。コネクタのホスト名を入力します。たとえば、コネクタのホスト名が

connector1.example.com である場合、テキストボックスに「connector1.example.com」と入力します。

例：

KerberosIdPAdapter の構成の詳細については、『VMware Identity Manager の管理』ガイドを参照してください。


注: Kerberos の初期化に失敗したというエラーが表示された場合は、「Kerberos 初期化エラー」を参照してください。スクリプトを実行した後、この画面に戻り、アダプタを構成します。

7 クラスタを展開している場合、クラスタ内のすべてのコネクタで KerberosIdPAdapter を構成して有効にします。

各コネクタに固有の [ホスト名をリダイレクト] の値を除き、アダプタをすべてのコネクタに対して同じように構成します。


VMware, Inc. 39

次のステップ

n KerberosIdpAdapter が有効になっている各コネクタに信頼される SSL 証明書があることを確認します。証明書は内部の認証局から取得できます。Kerberos 認証は自己署名証明書では動作しません。

信頼される SSL 証明書は、Kerberos を単一のコネクタで有効にするのか、高可用性のために複数のコネクタで有効にするのかに関係なく必要です。

n 必要に応じて、Kerberos 認証の高可用性をセットアップします。ロードバランサを使用しない場合、Kerberos認証は高可用性になりません。

Kerberos 認証の高可用性環境の構成Kerberos 認証の高可用性環境を構成するには、ファイアウォール内にある内部ネットワークにロードバランサをインストールし、VMware Identity Manager Connector インスタンスを追加します。

また、ロードバランサの特定の設定を行い、ロードバランサとコネクタインスタンス間で SSL トラストを確立し、ロードバランサのホスト名を使用するようにコネクタ認証の URL を変更する必要があります。

ロードバランサ設定の構成ロードバランサのタイムアウトを正しく設定する、スティッキーセッションを有効にするなど、ロードバランサで特定の設定を構成する必要があります。

これらの設定を構成します。

n ロードバランサのタイムアウト

VMware Identity Manager Connector が正しく機能するように、ロードバランサの要求のタイムアウトをデフォルトの値から増やす必要がある場合があります。この値は、分単位で設定します。タイムアウト設定が短す

ぎると、「502 エラー:

現在、サービスは使用できません。」というエラーが表示される場合があります。

n スティッキーセッションの有効化

環境に複数のコネクタインスタンスがある場合は、ロードバランサ上でスティッキーセッションの設定を有効にする必要があります。これで、ロードバランサはユーザーのセッションを特定のコネクタインスタンスにバインドします。

ロードバランサに VMware Identity Manager Connector ルート証明書を適用する

VMware Identity Manager Connectorがロードバランサの背後で構成されている場合は、ロードバランサとコネクタ間で SSL トラストを確立する必要があります。コネクタルート証明書は、信頼できるルート証明書としてロードバランサにコピーする必要があります。

VMware Identity Manager Connector証明書は、https://<connectorFQDN>:8443/cfg/ssl にあるコネクタの管理者ページからダウンロードできます。

コネクタのドメイン名がロードバランサを参照している場合は、SSL をロードバランサのみに適用できます。


VMware, Inc. 40

手順

1 コネクタの管理者ページ https://<connectorFQDN>:8443/cfg/login に管理者ユーザーとしてログインします。

2 [SSL 証明書のインストール] を選択します。

3 [サーバ証明書] タブで、[アプライアンスの自己署名ルート CA 証明書] フィールドのリンクをクリックします。

4 -----BEGIN CERTIFICATE----- と -----END CERTIFICATE---- の行を含み、これらの行の間にあるすべての行をコピーして、各ロードバランサの正しい場所にルート証明書を貼り付けます。ロードバランサのドキュメントを参照してください。

次のステップ

ロードバランサのルート証明書をコピーして、VMware Identity Manager Connectorに貼り付けます。

VMware Identity Manager Connector にロードバランサのルート証明書を適用する

VMware Identity Manager Connectorがロードバランサの背後で構成されている場合は、ロードバランサとコネクタの間で信頼を確立する必要があります。コネクタのルート証明書をロードバランサにコピーし、さらにロードバランサのルート証明書をコネクタにコピーする必要があります。

手順

1 ロードバランサのルート証明書を取得します。

2 https://<connectorFQDN>:8443/cfg/login にある VMware Identity Manager Connector 管理者ページに移動して、管理者ユーザーとしてログインします。

3 [SSL 証明書のインストール] - [信頼される CA][] タブを選択します。


VMware, Inc. 41

4 ロードバランサの証明書のテキストを [ルート証明書または中間証明書] テキストボックスに貼り付けます。

5 [追加] をクリックします。

ロードバランサのホスト名へのコネクタ IdP ホスト名の変更ロードバランサに VMware Identity Manager Connector インスタンスを追加したら、各コネクタの WorkspaceIdP の IdP ホスト名をロードバランサのホスト名に変更する必要があります。

前提条件

コネクタインスタンスは、ロードバランサの背後で構成されます。ロードバランサポートが 443 番であることを確認します。ポート番号 8443 は管理ポートであるため使用しないでください。

手順

1 VMware Identity Manager の管理コンソールにログインします。

2 [ID とアクセス管理] タブをクリックします。


4 [ID プロバイダ] ページで、コネクタインスタンスの Workspace IdP のリンクをクリックします。

5 [IdP ホスト名] テキストボックスで、ホスト名をコネクタのホスト名からロードバランサのホスト名に変更します。

たとえば、コネクタのホスト名が myconnectorであり、ロードバランサのホスト名が mylb の場合、URL

myconnector.mycompany.com:<port>


VMware, Inc. 42

を次のように変更します。

mylb.mycompany.com:<port>


VMware, Inc. 43

追加の VMware Identity ManagerConnector 構成 7最初の VMware Identity Manager Connector 構成が完了した後はいつでもコネクタの管理画面に移動して、証明書のインストール、パスワードの管理、およびログファイルのダウンロードなどのタスクを行うことができます。

VMware Identity Manager Connector 管理ページは、https://<connectorFQDN>:8443/cfg/login（例：https://myconnector.example.com:8443/cfg/login）で使用可能です。コネクタのインストール時に作成したパスワードを使用してコネクタの [admin] ユーザーとしてログインします。

表 7‑1. コネクタ設定


SSL 証明書のインストールこのページのタブでは、コネクタの SSL 証明書のインストール、自己署名ルート証明書のダウンロード、および信頼されるルート証明書のイン

ストールを実行します。

Syslog の構成このページで、コネクタログを外部サーバに送信する場合、外部の syslogサーバを有効にすることができます。

パスワードの変更このページで、コネクタの管理者パスワードを変更できます。

プロキシ設定この画面で、コネクタのプロキシ設定を行います。

ログファイルの場所このページでは、コネクタログファイルのバンドルを作成およびダウンロードできます。


n VMware Identity Manager Connector の SSL 証明書の使用

n VMware Identity Manager Connector の Syslog サーバの構成

n VMware Identity Manager コネクタのパスワードの管理

n VMware Identity Manager Connector のプロキシ設定を行う

n VMware Identity Manager Connector ログファイルの表示とダウンロード

n VMware Identity Manager Connector (Windows) の時刻同期の構成

VMware Identity Manager Connector の SSL 証明書の使用VMware Identity Managerコネクタのインストール時に、デフォルトの自己署名 SSL サーバ証明書が自動的に生成されます。ほとんどのシナリオでは、この自己署名証明書を引き続き使用することができます。

VMware, Inc. 44

アウトバウンドモードで展開されたコネクタの場合、エンドユーザーはコネクタに直接アクセスしないため、パブリック認証局 (CA) によって署名付き SSL 証明書をインストールする必要はありません。コネクタへの管理者アクセスのためには、引き続きデフォルトの自己署名証明書を使用するか、内部 CA によって生成された証明書を使用します。

ただし、コネクタ上で KerberosIdpAdapter を有効にして内部ユーザーの Kerberos 認証を設定する場合、エンドユーザーはコネクタへの SSL 接続を確立するため、コネクタには署名付き SSL 証明書が必要です。SSL 証明書を生成するには内部 CA を使用します。

Kerberos 認証の高可用性をセットアップする場合は、コネクタインスタンスの前にロードバランサが必要です。この場合、ロードバランサおよびすべてのコネクタインスタンスには署名付き SSL 証明書が必要です。SSL 証明書を生成するには内部 CA を使用します。ロードバランサ証明書の場合は、Workspace IdP の構成ページで設定されている Workspace IdP ホスト名をサブジェクト DN の共通名として使用します。それぞれのコネクタインスタンス証明書には、コネクタのホスト名をサブジェクト DN の共通名として使用します。または、Workspace Idp ホスト名をサブジェクト DN の共通名として使用し、すべてのコネクタホスト名と Workspace Idp ホスト名をサブジェクトの別名 (SAN) として使用して、単一の証明書を作成することもできます。

コネクタの署名付き SSL 証明書のインストールVMware Identity Manager コネクタの署名付き SSL 証明書は、https://<connectorFQDN>:8443/cfg/login のコネクタ管理ページからインストールできます。

署名付き SSL 証明書が必要なシナリオについては、「VMware Identity Manager Connector の SSL 証明書の使用」を参照してください。

前提条件

証明書署名要求 (CSR) を生成し、署名付き SSL 証明書を取得します。証明書は PEM 形式である必要があります。

手順

1 https://<connectorFQDN>:8443/cfg/login のコネクタの管理者ページに管理者ユーザーとしてログインします。

2 [SSL 証明書のインストール] をクリックします。

3 [サーバ証明書] タブで、[SSL 証明書] フィールドに対して [カスタム証明書] を選択します。

4 [SSL 証明書チェーン] テキストボックスに、サーバ、中間証明書、ルート証明書の順に貼り付けます。

証明書チェーン全体を正しい順序で含める必要があります。各証明書について、-----BEGIN CERTIFICATE----- と-----END CERTIFICATE----- の行を含めて、これらの行の間にあるすべての行をコピーします。

5 [プライベートキー] テキストボックスにプライベートキーを貼り付けます。----BEGIN RSA PRIVATE KEY と ---END RSA PRIVATE KEY の行の間にあるすべての行をコピーします。



VMware, Inc. 45

例：証明書の例

証明書チェーンの例

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


秘密キーの例

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

...

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----

コネクタの自己署名ルート CA 証明書のダウンロードコネクタのインストール時にデフォルトで生成される自己署名 SSL 証明書を使用してコネクタを展開する場合は、コネクタにアクセスするすべてのクライアントにコネクタの自己署名ルート CA 証明書をインストールします。ルートCA 証明書は、VMware Identity Manager 管理コンソールからダウンロードできます。

手順

1 https://<connectorFQDN>:8443/cfg/login の VMware Identity Manager コネクタの管理者ページに管理者ユーザーとしてログインします。

2 [SSL 証明書のインストール] をクリックします。

3 [サーバ証明書] タブで、[アプライアンスの自己署名ルート CA 証明書] フィールドのリンクをクリックします。

証明書が表示されます。


VMware, Inc. 46

4 -----BEGIN CERTIFICATE----- と -----END CERTIFICATE----- の行を含むテキスト全体をコ

ピーします。

コネクタへの信頼されるルート証明書のインストール

VMware Identity Manager コネクタによって信頼されるルート証明書または中間証明書をインストールします。コネクタは、証明書チェーンにこれらの証明書のいずれかが含まれているサーバとの安全な接続を確立できます。

信頼されるルート証明書をコネクタにインストールする必要があるシナリオは次のとおりです。

n Kerberos 認証の高可用性のためにロードバランサを設定した場合、コネクタインスタンスにロードバランサのルート CA 証明書をインストールし、コネクタとロードバランサ間の信頼関係を確立します。

手順


2 [SSL 証明書のインストール] をクリックし、[信頼される CA] タブを選択します。

3 ルート証明書または中間証明書をテキストボックスに貼り付けます。

-----BEGIN CERTIFICATE----- と -----END CERTIFICATE---- の行を含めて、これらの行の間にあるすべての行を含めます。


VMware Identity Manager Connector の Syslog サーバの構成サービスからのアプリケーションレベルのイベントは、外部の syslog サーバにエクスポートできます。オペレーティングシステムのイベントはエクスポートされません。

多くの企業ではディスク容量が制限されているため、仮想アプライアンスは、詳細なログ履歴を保存しません。より

多くの履歴を保存したり、ログ履歴を一元管理する場所を作成したりする場合は、外部の syslog サーバを設定できます。

前提条件

n 外部の syslog サーバをセットアップします。利用可能な任意の標準 syslog サーバを使用できます。いくつかのsyslog サーバには、詳細検索機能が備わっています。

n コネクタがポート 514 (UDP) 上の Syslog サーバにアクセスできることを確認します。

手順

1 https://<connectorFQDN>:8443/cfg/login のコネクタの管理者ページに [admin] ユーザーとしてログインします。

2 左側のペインで [Syslog 構成] を選択します。

3 [有効] をクリックします。

4 ログを保存する syslog サーバの IP アドレスまたは FQDN を入力します。



VMware, Inc. 47

ログのコピーが syslog サーバに送信されます。

VMware Identity Manager コネクタのパスワードの管理VMware Identity Manager Connector のインストール時に管理者ユーザーのパスワードを作成しました。このパスワードがコネクタの管理者ページから変更できます。

重要: 必ず強度の高いパスワードを作成してください。強度の高いパスワードの長さは、少なくとも 8 文字であり、大文字と小文字が含まれ、少なくとも 1 つ数字および特殊文字が含まれる必要があります。

手順


2 [パスワードの変更] をクリックします。

3 古いパスワードと新しいパスワードを入力します。

重要: 管理者ユーザーは、6 文字以上のパスワードを使用する必要があります。


VMware Identity Manager Connector のプロキシ設定を行うVMware Identity Manager Connector は、インターネット上で Web サービスにアクセスします。HTTP プロキシを使用するインターネットアクセスをネットワーク構成で指定している場合は、VMware Identity ManagerConnector でプロキシ設定を調整する必要があります。

注: インターネットトラフィックのみを処理するプロキシを有効にします。プロキシが正しく設定されていることを確認するために、ドメイン内の内部トラフィック用のパラメータを [no-proxy] に設定します。

手順

1 ブラウザを使用して、https://<connectorhostname>:8443/cfg/login の VMware Identity ManagerConnector 管理画面に移動します。

2 コネクタの [admin] ユーザーパスワードでログインします。

3 [プロキシ構成] をクリックします。

4 [有効] を選択します。

5 [ポートが指定されたプロキシホスト] テキストボックスに、プロキシサーバのホスト名とポートを入力します。

例： proxy.example.com:3128

6 [プロキシを経由しないホスト] フィールドに、プロキシサーバを経由せずにコネクタがアクセスできるホストを入力します。

ホスト名のリストを区切るにはカンマを使用します。



VMware, Inc. 48

VMware Identity Manager Connector ログファイルの表示とダウンロードVMware Identity Manager Connector ログファイルは、問題のデバッグとトラブルシューティングに役立ちます。ログファイルは、<InstallDirectory>\VMware Identity

Manager\Connector\opt\vmware\horizon\workspace\logs ディレクトリにあります。

次のログファイルは、最も重要です。

表 7‑2. ログファイル

コンポーネント Windows のログファイルの場所説明

Configurator ログ <InstallDirectory>\VMware

Identity

Manager\Connector\opt\vmwar

e\horizon\workspace\logs\co

nfigurator.log

Configurator が REST クライアントと Web インターフェイスから受け取る要求。

コネクタログ <InstallDirectory>\VMware

Identity



nnector.log

Web インターフェイスから受信された各要求の記録。各ログエントリには要求 URL、タイムスタンプ、例外が含まれています。同期アクションは記

録されません。

<InstallDirectory>\VMware

Identity



nnector-dir-sync.log

ディレクトリ同期に関連するメッセージ。

Apache Tomcatログ

<InstallDirectory>\VMware

Identity


e\horizon\workspace\logs\ca

talina.log

他のログファイルで記録されないメッセージのApache Tomcat レコード。

ログファイルバンドルは、https://connectorhostname:8443/cfg/login の VMware Identity ManagerConnector 管理者ページからダウンロードすることもできます。[admin] ユーザーとしてログインし、[ログファイルの場所] をクリックします。

ログバンドルのダウンロードVMware Identity Manager Connector のログファイルバンドルをコネクタの管理者ページからダウンロードできます。ログファイルは、問題のデバッグとトラブルシューティングに役立ちます。

環境内の各コネクタインスタンスからログを収集するには、各インスタンスの管理者ページにログインします。

手順

1 https://<connectorFQDN>:8443/cfg/login にある VMware Identity Manager Connector 管理者ページに管理者ユーザーとしてログインします。


VMware, Inc. 49

2 [ログファイルの場所] をクリックし、[ログバンドルの準備] をクリックします。

情報はダウンロードできるように zip ファイルに収集されます。

3 ログバンドルをダウンロードします。

VMware Identity Manager Connector のログレベルを DEBUG に設定ログレベルを DEBUG に設定することで、問題のデバッグに役立つ追加の情報を記録できます。

手順

1 コネクタがインストールされている Windows サーバで、<INSTALL_DIR>\VMware Identity

Manager\Connector\usr\local\horizon\conf\ ディレクトリに移動します。

2 ログレベルを cfg-log4j.properties および hc-log4j.properties ファイルで更新します。これ

らは、コネクタのために最も一般的に使用される log4j ファイルです。

a ファイルを編集します。

b ログレベルが INFOに設定された行で INFO を DEBUGに置き換えます。

たとえば、

rootLogger.level=INFO

を次のように変更します：

rootLogger.level=DEBUG

c ファイルを保存します。

サービスまたはシステムの再起動は必要ありません。

VMware Identity Manager Connector (Windows) の時刻同期の構成VMware Identity Manager 展開環境を正しく機能させるには、VMware Identity Manager サービスとコネクタのすべてのインスタンスで時刻同期を構成する必要があります。VMware Identity Manager Connector (Windows)の時刻同期を構成するには、VMware Identity Manager コンソールで [アプライアンス設定] - [構成の管理] - [時刻同期] タブを使用します。

VMware Identity Manager Connector のクロックは、ESXi ホストまたは Network Time Protocol (NTP) サーバのいずれかと同期できます。デフォルトでは、VMware Identity Manager Connector はホストと同期するように構成されています。コネクタの Windows マシンが ESXi ホストで実行されていない場合、ホストの時刻同期オプションは適用されず、NTP オプションを選択するか、Windows マシンで時刻同期を直接構成する必要があります。


VMware, Inc. 50

次のガイドラインに従ってください。

n ベストプラクティスとして、VMware Identity Manager Connector インスタンスが NTP サーバにアクセスできる場合は、NTP サーバと時刻を同期します。それ以外の場合は、ESXi ホストと時刻を同期し、NTP サーバと時刻を同期するように ESXi ホストを構成します。

注: コネクタの Windows マシンが ESXi ホストで実行されていない場合は、NTP オプションを選択するか、Windows マシンで時刻同期を直接構成します。

n 展開環境内で、VMware Identity Manager サービスまたはコネクタインスタンスが異なるホストに含まれている場合、ベストプラクティスとして、ホストではなく NTP サーバと直接時刻を同期して、インスタンス間に時間のずれが生じないようにすることをお勧めします。

前提条件

コネクタの Windows マシンが ESXi ホストで実行されていて、ホストの時刻同期オプションを使用する場合は、Windows マシンに VMware Tools をインストールします。

手順

1 https://<connectorFQDN>:8443/cfg/login のコネクタの管理者ページに [admin] ユーザーとしてログインします。

2 左側のペインで、[時刻同期] をクリックします。

3 時刻同期オプションを選択します。


NTP VMware Identity Manager Connector のシステムクロックを NTP サーバと同期します。デフォルトの NTP サーバは time.nist.gov です。別の NTP サーバを使用するには、その完全修飾ドメイン名 (FQDN) を [NTP サーバ] テキストボックスに入力します。例：

ntpserver.example.com

ホストの時刻 VMware Identity Manager Connector のシステムクロックを ESXi ホストと同期します（該当する場合）。これはデフォルトの設定です。



VMware, Inc. 51

VMware Identity Manager Connectorのアップグレード (Windows) 8VMware Identity Manager Connector (Windows) をアップグレードするには、My VMware または My WorkspaceONE から新しいバージョンのインストーラをダウンロードし、インストーラを実行します。古いバージョンをアンインストールする必要はありません。

アップグレード後に、VMware Identity Manager Connector の新しいアクティベーションコードを生成したり、再度有効にする必要はありません。既存の構成は、アップグレードされたコネクタに適用されます。

手順

1 My VMware または My Workspace ONE から Windows 版の VMware Identity Manager Connector インストーラをダウンロードします。

My VMware からインストーラを入手するには：a My VMware にログインします。

b VMware Identity Manager のダウンロードページから Windows 版の VMware Identity ManagerConnector インストーラをダウンロードします。

2 インストーラファイルを、以前のバージョンのコネクタがインストールされているのと同じ Windows Serverに保存します。

3 インストーラを実行し、プロンプトに従ってアップグレードを完了します。

注: アップグレード中に、インストーラがインストーラに含まれているバージョンよりも以前のバージョンのJRE を Windows Server 上で検出すると、新しい JRE バージョンをインストールするように求められます。

4 コネクタのアップグレード中に JRE をアップグレードする場合は、アップグレードが完了した後で Windowsサーバを再起動します。

サーバを再起動すると、JAVA_HOME 変数はアップグレードでインストールされる最新の JRE に設定され、コネクタは最新の JRE を使用できるようになります。

VMware, Inc. 52

VMware Identity Manager Connectorサーバでの Java のアップグレード 9VMware Identity Manager Connector のコンポーネントには、Java Runtime Environment (JRE) が必要です。

コネクタに必要な JRE バージョンは、VMware Identity Manager Connector インストーラに含まれています。コネクタをアップグレードするときには、JRE バージョンもアップグレードするように求められます。インストーラの実行中に JRE をアップグレードする情報については、章 8 「VMware Identity Manager Connector のアップグレード (Windows)」を参照してください。

後からコネクタサーバで JRE をアップグレードする場合は、次の手順を実行して、JRE のアップグレード後も VMwareIdentity Manager Connector が正常に動作することを確認します。

注: この手順は、VMware Identity Manager Connector バージョン 3.2.0.1 以降に適用されます。

注: JRE が自動的にアップグレードされた場合は、アップグレード後に手順 3 ～ 4 を実行します。

手順

1 VMware IDM コネクタサービスを停止します。

2 新しいバージョンの JRE をインストールします。

3 新しい JRE を参照するように JAVA_HOME 環境変数を更新します。

4 VMware IDM コネクタサービスを再起動します。

VMware, Inc. 53

VMware Identity Manager Connectorインスタンスの削除 10VMware Identity Manager Connectorインスタンスを VMware Identity Manager サービスから削除できます。コネクタインスタンスにディレクトリが関連付けられている場合、このインスタンスは削除できません。

たとえば、コネクタインスタンスを削除することで、同じホスト名を新しいコネクタインスタンスに使用できます。

手順

1 VMware Identity Manager の管理コンソールにログインします。

2 [ID とアクセス管理] タブを選択し、続いて [セットアップ] をクリックします。

3 削除するコネクタにディレクトリが関連付けられている場合は、まずディレクトリを削除します。

a [関連付けられているディレクトリ] 列のディレクトリ名をクリックします。

b [ディレクトリを削除] をクリックします。

4 [セットアップ] - [コネクタ] ページで、削除するコネクタインスタンスの横に表示されている [削除] アイコンをクリックし、[確認] をクリックします。

コネクタインスタンスが VMware Identity Manager サービスから削除されます。

5 VMware Identity Manager Connector がインストールされている Windows Server からアンインストールします。

VMware, Inc. 54

ACC から VMware Identity ManagerConnector へのディレクトリの移行 11AirWatch Cloud Connector (ACC) を使用して VMware Identity Manager との Active Directory 同期を展開したWorkspace ONE ユーザーは、VMware Identity Manager Connector に含まれている追加の機能を利用する場合、移行の手順に従う必要があります。このワンタイム手順により、タイプが他の ACC ディレクトリが、タイプが LDAP経由の Active Directory または統合 Windows 認証経由の Active Directory のディレクトリに変換されます。これらは VMware Identity Manager Connector と関連付けられています。この手順では、既存のディレクトリまたは関連付けられているすべての資格が削除されるわけではありません。

他のディレクトリの変換には、次のタスクが含まれます。

1 他のディレクトリを LDAP 経由の Active Directory または統合 Windows 認証経由の Active Directory に変換します。

2 必要に応じて、ディレクトリに対して追加の VMware Identity Managerコネクタ認証方法を設定します。パスワード認証方法は、デフォルトで使用可能です。

3 デフォルトのポリシーおよびカスタムポリシーを編集して、パスワード (AirWatch Connector) の代わりにパスワードまたは別の VMware Identity Managerコネクタ認証方法を使用します。

4 AirWatch から VMware Identity Managerディレクトリへのユーザーおよびグループ同期を停止します。


n 他のディレクトリを LDAP 経由の Active Directory または統合 Windows 認証経由の Active Directory に変換する

n Workspace ONE UEM から VMware Identity Manager へのディレクトリ同期の停止

他のディレクトリを LDAP 経由の Active Directory または統合Windows 認証経由の Active Directory に変換するWorkspace ONE UEM から同期されたユーザーとグループを保存する、タイプが他のディレクトリを、VMware Identity Manager Connector に関連付けられている、タイプが LDAP 経由の Active Directory または統合 Windows 認証経由の Active Directory のディレクトリに変換できます。ディレクトリを変換した後、VMware Identity Manager コネクタが ACC の代わりに使用され、ユーザーとグループがエンタープライズディレクトリから VMware Identity Manager に同期されます。

前提条件

n VMware Identity Manager Connector をインストールし、アクティブ化します。

VMware, Inc. 55

一部の機能を使用するには、Windows サーバをドメインに参加させる必要があり、管理者グループに属するドメインユーザーとして VMware Identity Manager Connector を Windows サーバにインストールする必要があります。また、Windows ドメインユーザーとして IDM コネクタサービスを実行する必要があります。

この要件は、次の場合に適用されます。

n 他のディレクトリを統合 Windows 認証経由の Active Directory に変換する場合


n Horizon View を VMware Identity Manager と統合し、[ディレクトリ同期を実行] オプションまたは [5.xConnection Server の構成] オプションを使用する場合

n 次の Active Directory 情報が必要です。

n LDAP 経由の Active Directory に変換する場合、ベース DN、バインド DN、およびバインド DN パスワードが必要です。有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。

n 統合 Windows 認証経由の Active Directory に変換する場合、ドメインのバインドユーザー UPN アドレスとパスワードが必要です。有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。

n Active Directory が SSL または STARTTLS 経由のアクセスを必要とする場合は、Active Directory ドメインコントローラのルート CA 証明書が必要となります。

n 統合 Windows 認証を使用する Active Directory では、マルチフォレスト Active Directory が構成されていて、さらにドメインローカルグループに異なるフォレストのドメインのメンバーが含まれる場合、バインドユーザーをドメインローカルグループが存在するドメインの管理者グループに必ず追加してください。これを行わなければ、これらのメンバーはドメインローカルグループに含まれません。

手順

1 VMware Identity Manager 管理コンソールで、[ID とアクセス管理] タブをクリックしてから、[ディレクトリ]タブをクリックします。

2 変換するディレクトリをクリックします。

3 [ディレクトリ] ページで、[変換] ボタンをクリックします。

4 [ディレクトリを追加] ページで、必要に応じてディレクトリの名前を変更し、他のディレクトリの変換先のディレクトリタイプ [LDAP 経由の Active Directory] または [Active Directory（統合 Windows 認証）] を選択します。

5 Active Directory 接続情報を入力し、ウィザードを続行してディレクトリをセットアップします。

詳細については、『VMware Identity Manager とのディレクトリ統合』ガイドの「サービスへの Active Directory接続の構成」を参照してください。

次のガイドラインに従ってください。

n [コネクタを同期] フィールドで、インストールした VMware Identity Manager コネクタを選択します。

n [ディレクトリの同期と認証] セクションで、認証にコネクタではなくサードパーティ ID プロバイダを使用する場合を除き、[認証] に [はい] を選択します。


VMware, Inc. 56

n 変換されたディレクトリを Workspace ONE UEM ディレクトリと同様にセットアップし、ディレクトリ構造が同じになるようにします。同じドメインを選択します。同期するユーザーとグループを指定する際は

Workspace ONE UEM ディレクトリと同じ選択を行って、同じユーザーとグループが変換されたディレクトリに同期されるようにします。

6 ウィザードの最後のページで、[ディレクトリ同期] をクリックします。

ディレクトリが変換され、VMware Identity Manager コネクタが使用されるようにセットアップされます。Workspace Identity Provider がまだない場合は作成され、ディレクトリがそれと自動的に関連付けられます。パスワード認証方法は、ディレクトリに対してすでに有効になっています。

7 （オプション）ディレクトリに対して他の認証方法を有効にするには、以下の手順を実行します。

a [ID とアクセス管理] タブで、[セットアップ] をクリックします。

b [コネクタ] ページで、変換されたディレクトリと関連付けられているコネクタとワーカーを検索し、[ワーカー] 列でのリンクをクリックします。

c [ワーカー] ページで、[認証アダプタ] タブをクリックします。

d 各リンクをクリックし、構成情報を入力して、ディレクトリに使用する認証アダプタを設定して有効にします。

認証アダプタの構成については、『VMware Identity Manager の管理』を参照してください。

8 default_access_policy_set と任意のカスタムポリシーを編集し、パスワード (AirWatch Connector) の代わりに VMware Identity Manager コネクタ認証方法を選択します。[]

a [ID とアクセス管理] タブで、[ポリシー] タブをクリックします。

b [デフォルトポリシーの編集] をクリックします。

c [構成] をクリックします。

d 各ポリシールールを編集し、[パスワード (AirWatch Connector)] 認証方法を VMware Identity ManagerConnector の認証方法である [パスワード] に置き換えます。

e [ポリシー] タブを再度クリックし、ある場合はカスタムポリシーを編集して、パスワード、または構成したその他の VMware Identity Manager コネクタ認証方法を使用します。

重要: パスワード (Airwatch Connector) をパスワード、または別の VMware Identity Manager コネクタベースの認証方法に変更しないと、変換されたディレクトリのユーザーはログインできなくなります。

次のステップ

Workspace ONE UEM から変換されたディレクトリへのディレクトリ同期を停止します。

Workspace ONE UEM から VMware Identity Manager へのディレクトリ同期の停止

他のディレクトリを LDAP 経由の Active Directory または統合 Windows 認証経由の Active Directory に変換し、VMware Identity Manager Connector と関連付けると、VMware Identity Manager Connector はユーザーとグループをエンタープライズディレクトリから、変換されたディレクトリに同期するために使用されます。WorkspaceONE UEM から VMware Identity Manager ディレクトリへのユーザーとグループの同期を停止する必要があります。


VMware, Inc. 57

手順

1 Workspace ONE UEM コンソールで、組織グループに移動します。

2 [グループと設定] - [すべての設定] - [システム] - [エンタープライズ統合] - [VMware Identity Manager] ページに移動します。

3 ページの下部にある [削除] ボタンをクリックします。

ディレクトリの変換が完了しました。これでユーザーとグループが VMware Identity Manager コネクタによってエンタープライズディレクトリから VMware Identity Manager サービスに同期されます。ユーザーは続行してアプリケーションにログインし、アクセスできます。

注: ドメイン名がドメイン NetBIOS 名と異なる場合、ディレクトリの変換後にログインページに表示されるドメイン名が異なっていることがあります。Workspace ONE UEM 同期により、ドメイン NetBIOS 名が表示されます。VMware Identity Manager Connector の同期により、ドメイン名が表示されます。


VMware, Inc. 58

VMware Identity Manager Connectorのトラブルシューティング 12トラブルシューティングのトピックでは、Windows 上の VMware Identity Manager Connector のインストールと管理に関する一般的な問題とその解決方法について説明します。


n VMware Identity Manager Connector の管理者ユーザーパスワードのリセット

n Kerberos 初期化エラー

VMware Identity Manager Connector の管理者ユーザーパスワードのリセット

VMware Identity Manager Connector の管理者ユーザーパスワードは、https://<connectorFQDN>:8443/cfg/login のコネクタ管理ページから変更できます。ただし、ログインができず、パスワードをリセットする必要がある場合は、hznSetAdminPassword.bat スクリプトを使用してパスワードをリセットすることができます。

手順

1 Windows サーバで、コマンドウィンドウを開きます。

2 <INSTALL_DIR>\VMware Identity Manager\Connector\usr\local\horizon\bin フォル

ダに移動します。

cd <INSTALL_DIR>\VMware Identity Manager\Connector\usr\local\horizon\bin

ここで <INSTALL_DIR> は VMware Identity Manager Connector インストールディレクトリです。

3 次のコマンドを入力します。

hznSetAdminPassword.bat <newPassword>

Kerberos 初期化エラーKerberos 認証アダプタを構成すると、Kerberos の初期化に失敗したことを示すエラーが表示されます。

VMware, Inc. 59

問題

VMware Identity Manager Connector のインストール中に、[ドメインユーザーアカウントとして IDM Connectorサービスを実行しますか? ]オプションを選択しなかった場合、またはオプションを選択しても、Active Directory で「ユーザーアカウントを作成、削除、および管理」する権限のないドメインアカウントを指定した場合、インストール後に Kerberos を初期化することはできません。Kerberos 認証アダプタを構成しようとすると、Kerberos の初期化に失敗したことを示すエラーメッセージが表示されます。

ソリューション

より上位の権限を持つユーザーアカウントを使用して setupkerberos.bat スクリプトを実行します。次の要件

を満たすアカウントを使用します。

n ドメインユーザーである

n Active Directory で「ユーザーアカウントを作成、削除、および管理」する権限を持っている（管理ユーザーおよびアカウントオペレータグループのメンバーにはそれらの権限があります）

n VMware Identity Manager Connector がインストールされている Windows サーバ上の管理者グループに属している

より上位の権限を持つこのユーザーアカウントは、スクリプトを実行するために一時的に必要となるだけで、コネクタサービスのために保存、再利用されることはありません。スクリプトを実行した後、使用していた元のユーザーアカウントを使用して Kerberos 認証アダプタの構成を続けることができます。

スクリプトを実行するには：

1 Windows コネクタマシンにログインし、InstallDir\VMware Identity

Manager\Connector\usr\local\horizon\scripts ディレクトリに移動します。

2 setupkerberos.bat を右クリックし、[管理者として実行] を選択します。

3 上記で説明したより上位の権限を持つユーザーアカウントを入力します。

スクリプトが正常に実行されると確認メッセージが表示されます。

4 使用していた元のユーザーアカウントを使用して VMware Identity Manager コンソールにログインし、Kerberos認証アダプタを構成します。

setupkerberos.bat スクリプトについて

setupkerberos.bat スクリプトは次のタスクを実行します。

1 （$ を除いて）マシンアカウントと同じ名前のサービスアカウントを作成する

2 アカウントにランダムパスワードを設定する

3 /usr/horizon/conf に保存されるアカウントのキータブファイルを生成する

4 マシンの特定のプリンシパルをアカウント内の SPN としてマッピングする


VMware, Inc. 60

Documents

Manager Connector VMware Identity 19.03.0.0 (Windows) の …...内容 VMware Identity Manager Connector 19.03.0.0 (Windows) のインストールと構成 5 1 VMware Identity Manager