このブログは、vExperts Advent Calendar 2022の12日目です。
最近VMware Cloud Service Consoleを使って提供されるサービスが少しずつ増えてきました。特に、今年リリースされたvSphere+はVMware Cloud Service Consoleを使用する代表的なサービスでしょう。
このVMware Cloud Service Consoleは、基本はVMwareのCustomer Connect (旧My VMware)アカウントでログインします。
ですが、Active DirectoryやIDaaSで管理しているアカウントを使って、VMware Cloud Services Console にSSOでログインを行う「エンタープライズフェデレーション」という機能があります。
https://docs.vmware.com/jp/VMware-Cloud-services/services/Using-VMware-Cloud-Services/GUID-358D70A6-DB33-4673-B2D6-43C73A1051FD.html
エンタープライズフェデレーションについていろいろドキュメントを調べてみると、構成にWorkspace ONE Access Connectorが登場したりで「なんだこれは?」と個人的に気になったので、今回エンタープライズフェデレーションを設定してみました。
正直、検証した結果「これを使うことはあんまり多くはないんじゃないか…」という気もしましたが、設定してみると結構大変な手順だったので、やったことを書き残す意味でブログとして公開致します。
■構成イメージ
※Workspace ONE Access自体はエンタープライズフェデレーションのセットアッププロセスの中で自動プロビジョニングされるので、別途準備は必要ありません。
■必要なもの
・Windows Server
前述の通り、Active Directoryと連携させるためにWorkspace ONE Access Connectorが必要になります。Workspace ONE Access ConnectorはWindows Serverにインストールする形になるため、Windows Serverの準備が必要になります。
・独自ドメイン
エンタープライズフェデレーションを設定するには、独自ドメインが必要です。VMware Cloud Service Consoleにログインする際、ユーザーのドメイン名を識別し認証先へのリダイレクトが行われます。
そのため、無償で使えるGmailのgmail.comドメインのアカウントでは、エンタープライズフェデレーションを構成することができません。また、後ほどの手順で紹介しますが、使用するドメインのレコードを追加する必要があるため、ドメインの管理者である必要があります。
※今回のブログでは検証用に個人的に準備していた"ta1.work"というドメインを使用しています。
・Customer Connectのアカウント(独自ドメインのメールアカウント)
前述の独自ドメインを使用したメールアドレスで、Customer Connectのアカウントが必要です。作成したCustomer Connectのアカウントで、VMware Cloud Service Consoleにログインできるように設定しておきます。
■設定の流れ
以下手順でエンタープライズフェデレーションを設定します。
- 設定の開始
- ドメインの確認
- Workspace ONE Accessコネクタのインストール
- グループとユーザーの同期
- IDプロバイダの構成
- セットアップの完了
- ログインの確認
それでは、設定していきます。(長いです…)
1.設定の開始
まず、エンタープライズフェデレーションの設定プロセスを開始します。
事前に準備した「Customer Connectのアカウント(独自ドメインのメールアカウント)」でVMware Cloud Service Consoleにログインします。
※プライベートブラウザを使っていると、以降の作業で失敗する場合があるので注意。VMware Cloud Servicesの設定画面で、[組織]-[エンタープライズフェデレーションの設定]を開きます。ログインしているアカウントの情報を入力、チェックを入れ、[送信]をクリックします。
対象のメールアドレスに招待メールが送信されます。
受信したメールの[BEGIN SETUP]を開きます。
エンタープライズフェデレーションの構成を設定します。今回は「コネクタベースの事前プロビジョニング」を指定します。
https://docs.vmware.com/jp/VMware-Cloud-services/services/setting-up-enterprise-federation-cloud-services/GUID-76FAECB3-CFAA-461E-B9C9-2A49C39CD17F.html
エンタープライズフェデレーションのセットアッププロセスが表示されます。
2.ドメインの確認
ドメインの所有者、管理者であることを確認する作業から行います。エンタープライズフェデレーションを設定するドメイン名を入力し[次へ]をクリックします。
TXTレコードを追加するように表示されます。ドメインを管理しているDNSサーバーに表示されているTXTレコードを追加します。[次へ]をクリックします。
[確認]をクリックし、TXTレコードが正しく追加されていることが確認されます。
正常にTXTレコードが追加されていれば状態が確認済みになります。[続行]をクリックして完了です。
3.Workspace ONE Accessコネクタのインストール
次にWorkspace ONE Access Connectorを構成します。[開始]をクリックします。
Workspace ONE Access のテナントがプロビジョニングされます。
Workspace ONE Accessのプロビジョニング後、Connectorのパスワードが表示されるのでコピーします。
Workspace ONE Access ConnectorをインストールするWindows Severに、インストーラーや構成ファイルを保存します。インストーラーファイルを実行します。(.NET Framework 4.8のインストールが実施される場合があります)
ウィザードに従ってインストールを行います。途中、構成ファイルを選択し、コピーしたパスワードを入力します。
その他設定は、基本的にデフォルトの選択で進めます。
インストール完了後[Finish]をクリックしてインストーラーを閉じます。
VMware Cloud Servicesの画面に戻ります。Connectorの状態が正常に認識されていることを確認します。
4.グループとユーザーの同期
Active DirectoryとConnectorを連携させます。また同期する、グループとユーザー情報を指定します。
[開始]をクリックします。
Active Directoryの情報を入力、選択します。
バインドユーザー(管理者アカウント情報)の識別名(DN)を入力し、[次へ]をクリックします。
同期するグループとユーザーの識別名(DN)を入力し、[次へ]をクリックします。
5.IDプロバイダの構成
IDプロバイダの選択と、ユーザーIDの設定を決定します。[開始]をクリックします。
IDプロバイダを指定します。今回はコネクタを選択し、[次へ]をクリックします。
ユーザーIDの設定を指定します。今回はEメール(ADのEメール属性)を使用する形式にし、[設定]をクリックします。
※各選択項目についての記述
Eメール…最上位レベルのドメインと内部のADドメインが異なっており、ユーザー認証にEメールが使用されている場合
Username @ Domain…最上位レベル ドメインと内部ADドメインが同じ場合
ユーザープリンシパル名(UPN)…最上位レベルのドメインと内部のADドメインが異なっており、ユーザー認証にユーザープリンシパル名(UPN)が使用されている場合
6.セットアップの完了
これまでの手順で設定は概ね完了です。最後にActive Directoryのユーザーでログインできることを確認した後、エンタープライズフェデレーションを有効化します。
[レジューム]をクリックします。
[ログインの検証]をクリックし、Active Directoryのユーザーでログインできることを確認します。
ポップアップウインドウが表示され、Workspace ONE Accessのログイン画面が表示されます。同期したユーザーのID(メールアドレス)とパスワードを入力してログインします。
ログインに成功すると、下記メッセージが表示されます。
ステータスが検証済みに変わります。[次へ]をクリックします。
フェデレーションの有効化によって影響がでるユーザーのリストと、説明用のメールテンプレート(英語)がダウンロードできます。
[次へ]をクリックします。
最後に、エンタープライズフェデレーションの有効化を行います。確認事項をチェックし、[有効]をクリックします。
エンタープライズフェデレーションが有効化されます。設定作業としては以上で完了です。
エンタープライズフェデレーションの状態確認画面では、以下のような情報が表示されます。
7.ログインの確認
Active DirectoryのユーザーアカウントでVMware Cloud Services Consoleにログインしてみます。
VMware Cloud Servicesのログインページを開き、対象ユーザーのメールアドレスを入力します。
Workspace ONE Accessのログインページへリダイレクトされます。Active Directoryのユーザー・パスワード情報を入力しログインします。
VMware Cloud Servicesにログインでき、割り当てられているサービスが利用できます。
※対象のユーザーに対して事前にvSphere+の評価版を有効化した組織に対して権限付与済み。
以上でエンタープライズフェデレーションの設定と動作確認は完了です。
おわりに
今回「VMware Cloud Servicesのエンタープライズフェデレーションってどんな設定が必要なんだろう?」という疑問から手探りで設定をやってみました。
設定してみて思った事としては、まだまだVMware Cloud Servicesを使ったサービス・機能も限られていますので、しばらくはエンタープライズフェデレーションを設定するケースは少なさそうだなと感じました。(設定結構たいへんだし…)
VMware Cloud Servicesで提供されるサービスがこれからどんどん増えてくれば、こういったActive DirectoryやIDaaS連携の機能を使ってVMware Cloud Servicesのログインユーザーを統合管理するメリットが出てきそうですが、活用されるにはまだ時間がかかりそうだなと思いました。