前回、vCenter Server Applianceをインストールしました。
vCenter Server Appliance (VCSA) は、ADドメインに参加することで、OSにログインしている AD ユーザーで VCSA に SSO 認証することが出来ます。
毎回、認証情報を入力する必要がなくなるので、AD環境がある場合はSSO認証することをお勧めします。
全てvSphere Client上で出来るので手順も簡単です。
なお、SSO認証する端末に拡張認証プラグインをインストールする必要があるため、使用するブラウザによっては動作しない場合があります。
今回はVCSAのSSO認証の手順を紹介します。
1.VCSAのドメイン参加
1.VCSAにログインし、「メニュー」-「管理」をクリックします。
2.「Single Sign-On」-「設定」-「Active Directory ドメイン」-「ACTIVE DIRECTORY に参加」をクリックします。
3.ドメイン名とアカウントを入力し、「参加」をクリックします。
※ドメインはNetBIOSではなく、FQDNで入力してください
※ユーザー名はUPN形式で入力してください
4.ドメインに参加したことを確認し、VCSAを再起動します。
2.IDソースの追加
1.VCSAの再起動後、「メニュー」-「管理」-「Single Sign-On」-「設定」-「IDソース」-「IDソースの追加」をクリックします。
2.下記の通り設定し、「追加」をクリックします。
- IDソースタイプ:Active Directory (統合Windows認証)
●サービスプリンシパル名 (SPN) を使用 - サービスプリンシパル名:STS/<ドメイン名>
- ユーザー名:<UPN形式の管理者アカウント>
3.IDソースが追加されたことを確認します。
4.「ホストおよびクラスタ」の左ペインよりVCSAを選択し、「権限」タブの「+」をクリックします。
5.権限を追加するドメインユーザーもしくはグループを選択し、「OK」をクリックします。
6.ドメインユーザーもしくはグループが追加されたことを確認します。
3.認証プラグインのインストールと動作確認
1.VCSAのログイン画面下部より、「拡張認証プラグインのダウンロード」をクリックします。
2.ダウンロードした拡張認証プラグインを実行し、インストールします。
<参考>VMware 拡張認証プラグインのインストール
https://docs.vmware.com/jp/VMware-vSphere/6.7/com.vmware.vcenter.install.doc/GUID-E640124B-BB55-4D29-AADD-296E01CF88C8.html
3.再度、VCSAのログイン画面にアクセスすると拡張認証プラグインのポップアップが表示されるので許可します。
※ポップアップが表示されない場合、IEのイントラネットにVCSAのURLを追加します
※Microsoft Edgeはサポート対象外です
4.「Windows セッション認証を使用してください」にチェックを入れ、「ログイン」をクリックします。
5.拡張認証プラグインのアクセス許可を求められるので、「Allow」をクリックします。
6.VCSAにログイン出来ることを確認します。
VCSAのSSO認証については以上です。
コメント