VMware Cloud Foundation（VCF）9.0 で、vCenter 組み込みの VCF Identity Broker（VIDB）を有効化してみます。

今回の内容です。

• VIDB 展開の方式について
• 1. 事前準備
  • 1-1. VCF の管理ドメイン
  • 1-2. Active Directory（ID プロバイダ）
• 2. VCF Single Sign-On のセットアップ
  • 2-1. デプロイ モードの選択
  • 2-2. ID プロバイダの構成
  • 2-3. コンポーネントの構成

 

VIDB 展開の方式について

VIDB には、2種類の展開方式があります。

• vCenter に組み込み
• 仮想アプライアンス

今回は、手軽にセットアップできる、vCenter に組み込む方式で展開します。

 

1. 事前準備

今回は、下記を事前に用意してあります。

 

1-1. VCF の管理ドメイン

VCF 9 の管理ドメインをデプロイしておきます。手順については、私の同僚のブログが参考になります。

licensecounter.jp

 

VCF Operations と VCF Automation では、ローカル admin ユーザーの UI を日本語に変更してあります。

 

1-2. Active Directory（ID プロバイダ）

VIDB と連携する ID プロバイダとして、Active Directory（AD）を構築しておきます。手順については、下記投稿を参考にしてください。

• SDDC Manager の ID プロバイダとして AD を追加してみる。前編: AD/ADCS（LDAPS）構築

 

今回は、以前の投稿とはドメイン名を変更して AD を再構築してあります。

• IP アドレス： 192.168.70.51
• ホスト名（コンピュータ名）： vcf9-ad-01.vcf.go-lab.jp
• ドメイン名： vcf.go-lab.jp
• NetBIOS ドメイン名： VCF

 

ADCS の CA 共通名も変更してあります。

• CA の共通名： VCF9-AD-01-CA 

 

ドメイン名変更にともない、ラボ用 AD ユーザとグループの名前は下記になります。

• ドメイン Administrator ユーザー
  • 電子メール： Administrator@vcf.go-lab.jp
• グローバル グループ
  • VCF-Admins@vcf.go-lab.jp
• ドメイン ユーザー
  • 姓： VCF
  • 名： Admin
  • 表示名： VCF Admin
  • 電子メール： vcf-admin@vcf.go-lab.jp
  • ユーザー ログオン名： vcf-admin@vcf.go-lab.jp
  • ユーザー ログオン名 (Windows 2000 より前)： VCF\vcf-admin

 

2. VCF Single Sign-On のセットアップ

VCF Operations で VCF Single Sign-On（VCF SSO）を有効化して、ID プロバイダとして ID を連携させます。

ここからは、VCF Operations にローカル管理者ユーザー（admin）でログインして作業します。

 

2-1. デプロイ モードの選択

VCF Operations の「フリート管理」→「ID とアクセス」を開くと、VCF SSO を有効化する画面が表示されます。

 

前提条件についてのチェック ボックスをすべて ON にして、「続行」をクリックします。

 

「VCF インスタンスを選択」→ インスタンス名（この環境では vcf-m01-inst）をクリックします。

 

「シングル サインオンの有効化」画面が表示されるので、「1. デプロイ モードを選択します」にある「開始」をクリックします。

 

デプロイ モードとして「Identity Broker (組み込み)」を選択して、「次へ」をクリックします。

 

2-2. ID プロバイダの構成

「シングル サインオンの有効化」画面に戻るので、「2. ID プロバイダの構成」にある「開始」をクリックします。

 

「1. ID プロバイダを選択します」にて、「Active Directory/LDAP」を選択して「次へ」をクリックします。

 

「2. ID プロバイダの構成」にて、「構成」をクリックします。

 

ディレクトリ情報を入力して、下にスクロールします。

• ディレクトリ名：vcf-go-lab-jp
• DNS サーバの場所：空欄のまま
• グローバル カタログ：ON（このディレクトリには、グローバル カタログがあります）
• プライマリ ドメイン コントローラ：ldaps://vcf9-ad-01.vcf.go-lab.jp
  • ポート：3269（デフォルトのまま） 
• プライマリ ドメイン コントローラの証明書：ADCS の CA 証明書ファイルを指定
  • ドメインコントローラの ADCS から CA 証明書を入手 しておく
• セカンダリ ドメイン コントローラ：空欄のまま

 

ディレクトリ情報の残りのパラメータを入力して、「次へ」をクリックします。

• ディレクトリ検索属性：userPrincipalName
• ベース DN：OU=VCF-Users,DC=vcf,DC=go-lab,DC=jp
• バインド ユーザー名：CN=Administrator,OU=VCF-Users,DC=vcf,DC=go-lab,DC=jp
• バインド ユーザーのパスワード：ドメイン Administrator ユーザーのパスワード

 

パラメータを確認して、「完了」をクリックします。

 

「3. ユーザーとグループのプロビジョニングを構成します」にある「構成」をクリックします。

 

ディレクトリ情報が表示されるので、「次へ」をクリックします。

 

「属性マッピング」画面が表示されるので、デフォルトのまま「次へ」をクリックします。

 

「グループ プロビジョニング」画面が表示されるので、AD の VCF-Users OU に登録しておいたグループを選択して「次へ」をクリックします。

• 名前：VCF-Admins

 

「ユーザー プロビジョニング」画面では、AD の VCF-Users OU に登録しておいたユーザー検索 → 選択して「次へ」をクリックします。

• 名前： VCF Admin（vcf-admin ユーザー）

 

「完了」をクリックします。

 

「ID プロバイダの構成」画面に戻るので、「完了」をクリックします。

 

2-3. コンポーネントの構成

「シングル サインオンの有効化」画面に戻ると、「2. コンポーネントの構成」も完了状態になっています。

VCF の 各コンポーネント（vCenter や NSX など）側で、VCF SSO のアカウントでアクセスできるように権限を割り当てる必要がありますが、この投稿ではひとまず省略して「セットアップを完了」をクリックします。

 

「セットアップを終了」の注意画面が表示されるので、「続行」をクリックします。

 

これで、組み込み VIDB が有効化できました。

 

つづく。

• VCF 9 で VCF Identity Broker を構成してみる。Part-02：VCF Automation の SSO 設定