VMware Cloud Foundation(VCF)5.2 で Aria Suite Lifecycle からデプロイした Workspace ONE Access を Active Directory(AD)と連携させてみます。
今回の内容です。
今回の環境
Workspace ONE Access は、下記のようにデプロイしてあります。
AD のドメイン コントローラー、ユーザー、グループは、下記のように準備してあります。
1. Workspace ONE Access へのディレクトリ追加とアカウント同期
Workspace ONE Access にログインします。
SDDC Manager から画面を開く場合は、「管理」→「VMware Aria Suite」→「Workspace ONE Access」にあるリンクをクリックします。
Workspace ONE Access には、構成管理者ユーザーでログインします。
- ユーザー:configadmin
※ユーザー名は Workspace ONE Access デプロイ時に指定したもの
下記の画面が表示されたら、画面右上のユーザー名 →「管理コンソール」を開きます。
これで、Workspace ONE Access の管理コンソールが開きました。
「ID とアクセス管理」タブを開きます。
「ディレクトリ」タブ →「ディレクトリを追加」→「LDAP/IWA 経由の Active Directory を追加」を開きます。
追加するディレクトリの情報を入力して、下にスクロールします。
- ディレクトリ名:c.go-lab.jp
- 「LDAP 経由のActive Directory」を選択
「ディレクトリの同期と認証」は、デフォルトのままにしておきます。
「サーバの場所」はデフォルトのままにしておきます。
- このディレクトリは DNS サービス ロケーションをサポートします:チェック ON
「暗号化」のパラメータを入力して、さらに画面を下にスクロールします。
- このディレクトリには STARTTLS を使用するすべての接続が必要:チェック ON
- SSL 証明書:以前の投稿 で入手した ADCS の CA 証明書(vcf-ad-01_ca.cer ファイル)の内容を入力します。
バインド ユーザーの詳細に、LDAP として接続するための情報を入力して「接続をテスト」をクリックします。
- ベース DN:OU=VCF-Users,DC=c,DC=go-lab,DC=jp
- バインド DN:CN=Administrator,CN=Users,DC=c,DC=go-lab,DC=jp
※今回はドメインの Administrator ユーザーを指定。 - バインド ユーザー パスワード:バインド DN に指定したユーザーのパスワード
接続に成功したことを確認してから、「保存して次へ」をクリックします。
ドメインが選択されていることを確認して「次へ」をクリックします。
- ドメイン: c.go-lab.jp (C)
「ユーザー属性をマップ」では、デフォルトのまま「次へ」をクリックします。
※ここで必須になっている属性から、AD ユーザーに E メール アドレスの指定が必要とされていることがわかります。
同期するグループ(ユーザー)を選択する画面が表示されるので、「ネストされたグループ メンバーを同期」のチェックを ON にして「+」をクリックします。
グループ DN が入力されている状態で、「同期するグループ」に表示されている数字(例では 0/1)をクリックします。
- グループ DN を指定: OU=VCF-Users,DC=c,DC=go-lab,DC=jp
VCF-Admins グループが見つかるので、チェックを ON にして「保存」をクリックします。
マップされたグループに VCF-Admins の DN が表示されたことを確認して、「次へ」をクリックします。
「同期するユーザーを選択」には、グループ単位ではなく、個別に同期するユーザーの DN を指定します。今回はドメイン Administrator の DN を指定して「次へ」をクリックします。(結局、この先で使わなかったかもしれない・・・)
「設定の確認」画面で、「ディレクトリに同期」をクリックします。
少し待ってから、「ページを更新」リンクをクリックしてみます。
ディレクトリの同期が完了すると、下記のようになります。
2. ロールの割り当て
AD ユーザー(の所属するグループ)に、Workspace ONE Access のロールを割り当てます。ここでは、「Super Admin」を割り当ててみます。
「ロール」タブを開き、「Super Admin」を選択してから「割り当て」をクリックします。
「ユーザー/ユーザー グループ」の下にある検索ウインドウで、グループを検索→選択してから、「保存」をクリックします。
- VCF-Admins@c.go-lab.jp グループ
これで、ロールが割り当てられました。
「ユーザーとグループ」タブを開き、VCF-Admins グループに所属している vcf-admin ユーザーの、ユーザー名(VCF, Admin)をクリックします。
ユーザーの「プロファイル」タブを開くと、AD グループを介して、AD ユーザーに「Super Admin」ロールが割り当てられたことが確認できます。
「グループ」タブを開くと、VCF-Admins@c.go-lab.jp グループに所属していることがわかります。
3. AD ユーザーでのログイン確認
ロールを割り当てた AD ユーザーで、Workspace ONE Access にログインしてみます。
画面右上のユーザー名(configadmin)→「ログアウト」をクリックします。
「ログイン ページへ戻る」をクリックします。
「ドメインを選択します」の画面が表示されるので、「c.go-lab.jp」を選択して「次へ」をクリックします。
「c.go-lab.jp」ドメインが表示されていることを確認して、「vcf-admin」ユーザーでログインします。
これで、AD ユーザーの「vcf-admin」(表示は VCF Admin)でログインできました。
この環境では Aria Automation をデプロイしてあるので、カタログには Aria Suite Lifecycle と Aria Automation へのリンクが表示されています。
ちなみに、この時点では Aria Suite Lifecycle 側でロールが割り当てられていないため、「開く」リンクをクリックしても権限がなくアクセスできません。権限付与するには、下記のように Aria Suite Lifecycle 側でロールを割り当てます。
同様に、Aria Automation 側でもロールが割り当てられていないため、「開く」をクリックしても権限がなくアクセスできません。
Aria Automation 側での権限付与はこちらをどうぞ。
以上、VCF 5.2 の Workspace ONE Access で AD 認証してみる話でした。
