vm.gowatana.jp

NEOにほんごVMware（仮）

VCF 9 で VCF Identity Broker を構成してみる。Part-02：VCF Automation の SSO 設定

WIP: VMware Cloud Foundation (VCF) VCF 9 VCF Automation

VMware Cloud Foundation（VCF）9.0 の VCF Automation で VCF SSO を有効化してみます。

今回の内容です。

今回の環境
1. VCF Automation の SSO 有効化
2. VCF Automation プロバイダ管理ポータルへのログイン（admin ユーザー）
3. VCF SSO ユーザー / グループへのロール割り当て
4. VCF Automation プロバイダ管理ポータルへのログイン（VCF SSO ユーザー）

今回の環境

VCF 9 で、下記投稿のように VIDB を有効化してあります。

VCF 9 で VCF Identity Broker を構成してみる。Part-01：組み込み VIDB の有効化

VCF Automation のローカル admin ユーザーは、日本語表示にしてあります。

VCF 9 の VCF Automation を日本語表示にしてみる。

1. VCF Automation の SSO 有効化

VCF Operations に admin ユーザーでログインして、VCF Automation の SSO を有効化します。

VCF Operations の「フリート管理」→「ID とアクセス」を開きます。

「VCF 管理」→「Automation アプライアンス」を開き、「シングルサインオンの有効化」にある「続行」をクリックします。

VIDB を選択して、「構成」をクリックします。今回は、vCenter 組み込みの VIDB を有効化してあるので、vCenter アドレスのものを選択しています。

Identity Broker：m01-vc.vcf.go-lab.jp

VCF Automation 側でロール割り当てが必要になることを案内する画面が表示されるので、チェックボックスを ON にして「続行」をクリックします。

これで、VCF Automation で VCF SSO が利用可能になりました。

2. VCF Automation プロバイダ管理ポータルへのログイン（admin ユーザー）

VCF SSO と連携する AD ユーザー（もしくはグループ）にロールを割り当てるため、VCF Automation のプロバイダ管理ポータルにログインします。

組織ポータルに遷移しないように、Web ブラウザに URL を直接入力してアクセスします。

今回の VCF Automation の FQDN：m01-auto.vcf.go-lab.jp
この場合のプロバイダ管理ポータル URL：https://m01-auto.vcf.go-lab.jp/provider

VCF SSO 有効化後は、下記のように自動リダイレクトが作動するので、「リダイレクトの停止」をクリックしておきます。

VCF Automation のログイン画面に、「プロバイダ管理」と表示されていることを確認します。

「ローカルアカウントを使用してログイン」を選択して、ローカル管理者ユーザー（admin）でログインします。

VCF Automation が初期状態の場合は下記の画面が表示されるので、「VCF AUTOMATION に進む」をクリックします。

これで、プロバイダ管理の画面が開きます。

「管理」→「ID プロバイダ」を開くと、「VCF SSO」タブが表示されています。ちなみに VCF SSO が未構成の場合は、このタブが「OIDC」となっています。

3. VCF SSO ユーザー / グループへのロール割り当て

「管理」→「アクセスコントロール」を開くと、「ユーザー」タブに、ローカル管理者ユーザー（admin）のみが表示されています。

「グループ」タブを開き、「グループのインポート」をクリックします。

「グループのインポート」画面が表示され、デフォルトではソースとして LDAP が選択されています。

インポートするグループのパラメータを指定して、「保存」をクリックします。

ソース：VCF SSO
グループ名を入力します：VCF-Admins@vcf.go-lab.jp
ロールの割り当て：System Administrator

これで、VCF SSO 経由のグループにロールが割り当てられました。

VCF SSO でのログインを確認するため、画面右上のユーザー名 →「ログアウト」をクリックしてログアウトします。（もしくは、ブラウザのシークレットモードや、別ブラウザを利用します）

4. VCF Automation プロバイダ管理ポータルへのログイン（VCF SSO ユーザー）

VCF Automation のプロバイダ管理ポータルのログイン画面で、「VCF SSO」を選択して「ログイン」をクリックします。

AD ユーザー（vcf-admin@vcf.go-lab.jp）でログインします。

画面右上の表示から、AD ユーザーでログインできたことが確認できます。

「CONTINUE TO VCF AUTOMATION」をクリックします。

ロールの割り当てにより、プロバイダ管理ポータルの画面も表示できています。

ちなみに、UI の表示言語設定はユーザー単位のため、必要に応じて日本語に変更します。

VCF 9 の VCF Automation を日本語表示にしてみる。

つづく。