CloudSimple Private Cloud 上で vCenter の ID プロバイダーとして Azure AD を使用する
VMware 管理者が vCenter にアクセスするには、Azure Active Directory (Azure AD) で認証できるように CloudSimple Private Cloud vCenter を設定します。 シングル サインオン ID ソースが設定されると、cloudowner ユーザーは ID ソースから vCenter にユーザーを追加できるようになります。
Active Directory ドメインとドメイン コントローラーは、次のいずれかの方法で設定できます。
- オンプレミスで実行される Active Directory ドメインとドメイン コントローラー
- ご利用の Azure サブスクリプションで仮想マシンとして Azure 上で実行される Active Directory ドメインとドメイン コントローラー
- CloudSimple Private Cloud で実行される新しい Active Directory ドメインとドメイン コントローラー
- Azure Active Directory サービス
このガイドでは、Azure AD を ID ソースとして設定するために必要なタスクについて説明します。 オンプレミスの Active Directory または Azure で実行されている Active Directory を使用した ID ソースの設定の詳細な手順については、「Active Directory を使用するように vCenter ID ソースを設定する」を参照してください。
Azure AD の概要
Azure AD は、マイクロソフトが提供する、マルチテナントに対応したクラウド ベースのディレクトリと ID の管理サービスです。 Azure AD には、ユーザーが Azure 上のさまざまなサービスを認証およびアクセスできる、スケーラブルで一貫性のある信頼性の高い認証メカニズムが用意されています。 また、すべてのサードパーティ サービスに対して、認証/ID ソースとして Azure AD を使用する Secure LDAP サービスが提供されます。 Azure AD は、コア ディレクトリ サービス、高度な ID ガバナンス、およびアプリケーション アクセス管理を組み合わせたもので、Private Cloud を管理するユーザーに Private Cloud へのアクセス権を付与するために使用できます。
vCenter で ID ソースとして Azure AD を使用するには、Azure AD と Azure AD Domain Services を設定する必要があります。 以下の手順に従います。
Azure AD と Azure AD Domain Services を設定する
始める前に、全体管理者特権を使用して Azure サブスクリプションにアクセスする必要があります。 次の手順では、一般的なガイドラインを示します。 詳細については、Azure のドキュメントを参照してください。
Azure AD
Note
既に Azure AD をお持ちの場合は、このセクションを省略できます。
- Azure AD のドキュメントで説明されているように、サブスクリプションに Azure AD を設定します。
- 「Azure Active Directory Premium エディションにサインアップする」の説明に従って、サブスクリプション上で Azure Active Directory Premium を有効にします。
- Azure Active Directory へのカスタム ドメイン名の追加に関する記事の説明に従って、カスタム ドメイン名を設定し、カスタム ドメイン名を確認します。
- Azure で提供される情報を使用して、ドメイン レジストラー上で DNS レコードを設定します。
- カスタム ドメイン名をプライマリ ドメインに設定します。
必要に応じて、その他の Azure AD 機能を構成することができます。 これらは、Azure AD での vCenter 認証を有効にするために必須ではありません。
Azure AD Domain Services
Note
これは、vCenter の ID ソースとして Azure AD を有効にする重要な手順です。 問題を回避するために、必ずすべての手順を正しく実行してください。
Azure portal を使用して Azure Active Directory Domain Services を有効にする方法の記事の説明に従って Azure AD Domain Services を有効にします。
Azure portal を使用して Azure Active Directory Domain Services を有効にする方法の記事の説明に従って、Azure AD Domain Services によって使用されるネットワークを設定します。
Azure portal を使用して Azure Active Directory Domain Services を有効にする方法の記事の説明に従って、Azure AD Domain Services を管理する管理者グループを構成します。
Azure Active Directory Domain Services を有効にする方法の記事の説明に従って、Azure AD Domain Services の DNS 設定を更新します。 インターネット経由で AD に接続する場合は、Azure AD Domain Services のパブリック IP アドレスの DNS レコードをドメイン名に設定します。
ユーザーのパスワード ハッシュ同期を有効にします。 この手順で、NT LAN Manager (NTLM) および Kerberos 認証に必要なパスワード ハッシュが Azure AD Domain Services との間で同期されるようになります。 パスワード ハッシュの同期をセットアップすると、ユーザーは自社の資格情報を使用して、マネージド ドメインにサインインできます。 「Azure Active Directory Domain Services とのパスワード ハッシュの同期を有効にする」を参照してください。
クラウド専用ユーザーが存在する場合は、Azure AD アクセス パネルを使用してパスワードを変更し、パスワード ハッシュが NTLM または Kerberos で必要な形式で格納されるようにする必要があります。 クラウド専用ユーザー アカウントのマネージド ドメインとのパスワード ハッシュ同期を有効にする方法の記事の手順に従います。 この手順は、個々のユーザーと、Azure portal または Azure AD PowerShell コマンドレットを使用して Azure AD ディレクトリに作成される新しいユーザーに対して行う必要があります。 Azure AD Domain Services へのアクセスを必要とするユーザーは、Azure AD アクセス パネルを使用し、そのプロファイルにアクセスしてパスワードを変更する必要があります。
Note
組織にクラウド専用ユーザー アカウントが存在する場合、Azure Active Directory Domain Services を使用する必要があるすべてのユーザーは、自分のパスワードを変更しなければなりません。 クラウド専用ユーザー アカウントとは、Azure Portal または Azure AD PowerShell コマンドレットを使って Azure AD ディレクトリに作成されたアカウントです。 そのようなユーザー アカウントは、オンプレミス ディレクトリとの間で同期されません。
オンプレミスの Active Directory からパスワードを同期する場合は、Active Directory のドキュメントの手順に従ってください。
Azure AD Domain Services のマネージド ドメイン用の Secure LDAP (LDAPS) の構成に関する記事の説明に従って、Azure Active Directory Domain Services 上で Secure LDAP を構成します。
- Secure LDAP 用の証明書の取得に関する Azure のトピックの説明に従って、Secure LDAP に使用する証明書をアップロードします。 CloudSimple では、証明機関から発行された署名済み証明書を使用して、vCenter が証明書を信頼できるようにすることをお勧めします。
- Azure AD Domain Services のマネージド ドメイン用に Secure LDAP (LDAPS) を有効にする方法の説明に従って、Secure LDAP を有効にします。
- ID ソースの構成時に、vCenter に使用する証明書の公開部分 (秘密キーなし) を .cer 形式で保存します。
- Azure AD Domain Services へのインターネット アクセスが必要な場合は、[Allow secure access to LDAP over internet]\(インターネット経由での LDAP へのセキュリティで保護されたアクセスを許可する\) オプションを有効にします。
- TCP ポート 636 の Azure AD Domain Services NSG の受信セキュリティ規則を追加します。
Private Cloud vCenter 上で ID ソースを設定する
Private Cloud vCenter の特権を昇格します。
ID ソースの設定に必要な構成パラメーターを収集します。
オプション 説明 名前 ID ソースの名前。 Base DN for users (ユーザーのベース DN) ユーザーのベース識別名。 Azure AD の場合、次を使用します: OU=AADDC Users,DC=<domain>,DC=<domain suffix>。例:OU=AADDC Users,DC=cloudsimplecustomer,DC=com。ドメイン名 ドメインの FQDN (例: example.com)。 このテキスト ボックスには IP アドレスを指定しないでください。 Domain alias (ドメイン エイリアス) (省略可能) ドメインの NetBIOS 名。 SSPI 認証を使用している場合は、Active Directory ドメインの NetBIOS 名を ID ソースのエイリアスとして追加します。 Base DN for groups (グループのベース DN) グループのベース識別名。 Azure AD の場合、次を使用します: OU=AADDC Users,DC=<domain>,DC=<domain suffix>。例:OU=AADDC Users,DC=cloudsimplecustomer,DC=comPrimary Server URL (プライマリ サーバーの URL) ドメインのプライマリ ドメイン コントローラー LDAP サーバー。
「ldaps://hostname:port」の形式を使用します。 LDAPS 接続の場合、通常、このポートは 636 です。
プライマリまたはセカンダリの LDAP URL でldaps://を使用するときは、Active Directory サーバーの LDAPS エンドポイントに対して信頼を確立する証明書が必要です。Secondary server URL (セカンダリ サーバーの URL) フェールオーバーに使用するセカンダリ ドメイン コントローラー LDAP サーバーのアドレス。 Choose certificate (証明書の選択) Active Directory LDAP サーバーまたは OpenLDAP サーバーの ID ソースで LDAPS を使用する場合は、URL テキスト ボックスに「 ldaps://」と入力すると、[証明書の選択] ボタンが表示されます。 セカンダリの URL は必須ではありません。ユーザー名 ユーザーおよびグループのベース DN への最小限の読み取り専用アクセス権を持つドメイン内のユーザーの ID。 パスワード [ユーザー名] で指定したユーザーのパスワード。 特権が昇格されたら、Private Cloud vCenter にサインインします。
前の手順の値を使用して、「vCenter にで ID ソースとして追加する」の手順に従って、ID ソースとして Azure Active Directory を設定します。
VMware のトピック「Add Members to a vCenter Single Sign-On Group (vCenter のシングル サインオン グループにメンバーを追加する)」の説明に従って、Azure AD から vCenter グループにユーザーまたはグループを追加します。
注意事項
新しいユーザーは、Cloud-Owner-Group、Cloud-Global-Cluster-Admin-Group、Cloud-Global-Storage-Admin-Group、Cloud-Global-Network-Admin-Group、または Cloud-Global-VM-Admin-Group にのみ追加する必要があります。 Administrators グループに追加されたユーザーは自動的に削除されます。 Administrators グループには、サービス アカウントのみを追加する必要があります。