ノート:

vCenterサーバー・アイデンティティ・プロバイダ・フェデレーションとOCI IAM for Oracle Cloud VMware Solutionの統合

イントロダクション

今日の急速に進化するIT環境では、セキュリティを強化し、管理を簡素化するために、システム間のシームレスな統合が不可欠です。VMware vCenter Server Appliance (VCSA) 8.0 U2を使用すると、管理者はアイデンティティ・フェデレーションにOracle Cloud Infrastructure Identity and Access Management (OCI IAM)を利用できるようになりました。この機能は、Oracle Cloud VMware Solutionのお客様が環境を完全に制御できるため、制限なく変更を実装できます。この統合を有効にすることで、認証プロセスを合理化し、統合されたアクセス制御メカニズムを確立して、VMware環境が最新のアイデンティティ管理プラクティスに確実に準拠し、安全であることを保証できます。

このチュートリアルでは、VCSA 8.0 U2を使用する組織に外部アイデンティティ・プロバイダを採用するメリットを強調します。OCI IAMなどの外部アイデンティティ・プロバイダと統合することで、組織は既存のアイデンティティ・インフラストラクチャを活用し、シングル・サインオン(SSO)プロセスを合理化し、マルチファクタ認証を通じてセキュリティを強化できます。さらに、この統合により、インフラストラクチャとアイデンティティ管理間の職務の分離がサポートされ、セキュリティおよび管理効率のベスト・プラクティスに準拠しています。

アーキテクチャ

外部アイデンティティ・プロバイダ・フェデレーションのアーキテクチャは、VMwareアイデンティティ・サービスを利用したvCenter全体で一貫性があります。このチュートリアルでは、OCI IAMアイデンティティ・ドメインの活用に焦点を当てます。

この統合には2つのフェーズがあります。

対象読者

OCI IAMプロフェッショナル、Oracle Integration管理者、Oracle Cloud VMware Solution管理者およびVMware管理者。

前提条件

タスク1: OCI IAMドメインでの機密アプリケーションの登録

機密アプリケーションをそれぞれのOCI IAMドメインに登録します。この機密アプリケーションを使用して、OAuth 2.0認可コード・フローを使用してアクセス・トークンを取得します。

  1. OCIコンソールにログインし、「アイデンティティとセキュリティ」に移動して「ドメイン」をクリックします。

    イメージ 3

  2. ドメインを選択します。

    イメージ 4

  3. 「統合アプリケーション」をクリックし、OAuthに使用される「機密アプリケーション」を選択して、「ワークフローの起動」をクリックします。

    イメージ 5

    イメージ 6

  4. アプリケーションの「名前」を入力し、「次へ」をクリックします。

    イメージ 7

  5. 「クライアント構成」セクションで、「クライアント資格証明」を選択します。

    イメージ 61

    ノート: 「認可コード」および「リダイレクトURL」を有効にせずにアプリケーションを保存します。タスク2から「リダイレクトURL」を取得した後、アプリケーションを再度更新します。後述を参照してください

    イメージ 58

  6. アプリケーション・ワークフローを完了し、アクティブ化します。「Client ID」および「Client Secret」をコピーします。

    イメージ 62

  7. 「ドメイン情報」ページから「ドメインURL」をコピーします。

    イメージ 16

タスク2: vCenterサーバーでのアイデンティティ・プロバイダ(IdP)の構成とVCenter証明書のダウンロード

vCenterサーバーをOCI IAMと統合して、ユーザーのSSOを有効にします。このタスクでは、VCSAでIdPを構成します。IdPを構成したら、vCenterとOCI API Gatewayの間の信頼を確立するために、IdP構成で使用するvCenter証明書をダウンロードする必要があります。

  1. 管理者としてvCenterサーバーにログインし、「ホーム」「管理」「シングル・サインオン」「構成」「アイデンティティ・プロバイダ」「アイデンティティ・ソース」にナビゲートします。ドロップダウン・メニューから「Okta」「プロバイダの変更」に選択します。

    イメージ 12

    ノート: Okta IdPテンプレートを使用しますが、OCI IAMの詳細で変更されます。

  2. 前提条件が満たされていることを確認し、「次へ」を選択します。

    イメージ 13

  3. 「ディレクトリ名」「ドメイン名」を入力し、「次へ」をクリックします。

    イメージ 14

  4. ドロップダウン・メニューから「トークン存続期間」値を選択し、「次へ」をクリックします。

    イメージ 15

  5. 「OpenID Connect」セクションで、「リダイレクトURI」をコピーし、タスク1でコピーした「アイデンティティ・プロバイダ名」「クライアント識別子」および「シークレット」を入力します。

    OpenIDアドレスで、タスク1でコピーしたドメインURLを使用して、/.well-known/openid-configurationを追加します。詳細を保存したら、「次へ」をクリックします。

    ノート:タスク1のステップ5で説明したように、リダイレクトURIを書き留め、OCI IAMの機密アプリケーションを更新します。

    イメージ 17

  6. 「アイデンティティ・プロバイダ」詳細セクションを確認した後、「終了」をクリックします。

    イメージ 18

  7. 「信頼できるルートCA証明書のダウンロード」をクリックして、vCenterから信頼できるルートCA証明書をダウンロードします。

    イメージ 30

タスク3: OCI IAMでのSCIMアプリケーションの作成

このタスクでは、OCI IAMにSCIM 2.0アプリケーションを作成し、OCI IAMのどのユーザーをvCenterサーバーにプッシュするかを指定できるようにします。

  1. OCIコンソールにログインし、「アイデンティティとセキュリティ」にナビゲートし、ドメインを選択して「統合アプリケーション」に移動し、「アプリケーション・カタログ」を選択して新しいアプリケーションを追加します。

    イメージ 19

  2. 検索バーにGenericSCIM - Bearer Tokenと入力し、タイルを選択します。

    イメージ 20

  3. アプリケーション「名前」を入力し、「次へ」をクリックします。

    イメージ 21

  4. 「プロビジョニングの有効化」を選択します。

    イメージ 22

  5. vCenter URLはパブリックURLではないため、OCI IAMはvCenter SCIM APIにアクセスできません。vCenter SCIM APIを公開するには、パブリックOCI API Gatewayを構成し、vCenter SCIM APIルートを追加します。ここでは、プロビジョニングの「接続の構成」の詳細を空白のままにして、「属性マッピング」セクションを完了します。

    ノート:

    • デフォルトでは、user.idexternalIdにマップされます。user.id$(user.userName)に置き換えます。
    • 「プロビジョニング」セクションはタスク6で更新されます。

    イメージ 23

    前提条件で説明したように、OCI IAMのSCIMプロビジョニング・プロセスでvCenterにユーザー・アカウントが作成されると、ユーザーのsAMAccountName (たとえば、jdoe)がプライマリ識別子として使用されるため、OCI IAMにはsAMAccountName形式(電子メールまたはUPN形式ではない)のユーザー名値が必要です。次のサンプル属性マッピングを参照してください。

    イメージ 63

  6. 「プロビジョニング操作の選択」セクションで、「アカウントの作成」「アカウントの削除」「ユーザー更新のプッシュ」「ユーザーのアクティブ化/非アクティブ化ステータスのプッシュ」を選択し、「同期の有効化」を有効にして、デフォルト構成を使用します。

    イメージ 64

    イメージ 65

タスク4: CAバンドルの作成

OCI API GatewayとVCenterの間で信頼できる接続を確立するには、OCI APIゲートウェイでVCenterの信頼できるルートCA証明書を提供する必要があります。

  1. OCIコンソールにログインし、「アイデンティティとセキュリティ」「証明書」および「CAバンドル」に移動します。

    イメージ 31

  2. 「CAバンドルの作成」ページで、適切なコンパートメントを選択し、バンドルに有効な名前を指定して、タスク2でダウンロードした証明書の内容を貼り付けます。

    イメージ 32

タスク5: OCI APIゲートウェイの構成

OCI IAMがインターネットに公開されていないvCenter SCIM APIにセキュアにアクセスできるようにするために、OCI API Gatewayはプロキシとして機能し、OCI IAMとvCenter SCIM API間のシームレスでセキュアな通信を確保します。

  1. OCIコンソールにログインし、「開発者サービス」「API管理」および「ゲートウェイ」に移動します。

    イメージ 27

  2. 「ゲートウェイの作成」ページで、適切な「名前」を入力し、目的の仮想クラウド・ネットワークおよびパブリック・サブネットを選択します。デフォルトの証明書を使用して、「終了」をクリックします。ゲートウェイが完全にデプロイされるまで待機します。

    イメージ 28

    イメージ 29

  3. 「認証局の追加」をクリックして、タスク4で作成したCAバンドルを追加します。

    イメージ 33

  4. 「デプロイメント」および「デプロイメントの作成」をクリックします。

    イメージ 34

  5. 「Basic Information」セクションに、次の情報を入力します。

    • 名前:有効な名前を入力します。
    • パス接頭辞: /と入力します。
    • 実行ログ・レベル: 「情報」を選択します。

    イメージ 35

    イメージ 36

  6. 「認証なし」を選択します。

    イメージ 37

  7. 「ルート」セクションで、適切なvCenter SCIM APIエンドポイントを別のルート(ルート1、ルート2、ルート3、ルート4およびルート5)として追加し、「次」をクリックします。

    • ルート1:パスは/usergroup/t/CUSTOMER/scim/v2、URLはhttps://<VSCA URL>

      イメージ 38

    • ルート2:パスは/usergroup/t/CUSTOMER/scim/v2/Users、URLはhttps://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Users

      イメージ 39

    • ルート3:パスは/usergroup/t/CUSTOMER/scim/v2/Groups、URLはhttps://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Groups

      イメージ 40

    • ルート4:パスは/usergroup/t/CUSTOMER/scim/v2/Groups/{object*}、URLはhttps://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Groups/${request.path[object]}

      イメージ 41

    • ルート5:パスは/usergroup/t/CUSTOMER/scim/v2/Users/{object*}、URLはhttps://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Users/${request.path[object]}

      イメージ 42

  8. デプロイメントが完了するまで待機し、エンドポイントURLをコピーします。

    イメージ 43

タスク6: OCI IAMでのSCIMアプリケーションの更新

  1. OCIコンソールにログインし、「アイデンティティとセキュリティ」にナビゲートし、ドメインを選択して「統合アプリケーション」にナビゲートし、汎用SCIMベアラー・トークン・アプリケーションを選択して、OCI APIゲートウェイ・デプロイメント・エンドポイントURLを貼り付けます。

    イメージ 44

    ノート: 「ホスト名」のみが使用されていることを確認します。

  2. 「ベースURI」を入力します。

    イメージ 45

  3. vCenterアクセス・トークンを追加します。このためには、vCenterサーバーにログインし、vCenter構成を選択し、トークンを生成してコピーする必要があります。

    イメージ 67

  4. アクセス・トークンをSCIMアプリケーションに貼り付け、「接続のテスト」をクリックします。

    イメージ 66

タスク7: OCI IAMからvCenterへのユーザーの同期

vCenterサーバーにプッシュするOCI IAMのユーザーを指定するには、それらのユーザーをSCIMアプリケーションに割り当てます。

  1. OCIコンソールにログインし、「アイデンティティとセキュリティ」にナビゲートし、ドメインを選択して「統合アプリケーション」にナビゲートし、SCIMアプリケーションを選択して、「ユーザー」および「ユーザーの割当て」をクリックします。

    イメージ 48

    イメージ 49

    イメージ 50

  2. プッシュされたユーザーのvCenterで検証し、適切な権限を割り当てます。vCenterサーバーにログインし、vCenter構成を選択し、シングル・サインオンで「ユーザーおよびグループ」をクリックし、追加したドメインを選択してユーザーを検証します。

    イメージ 51

タスク8: テスト

  1. 認識できないブラウザにvSphere URLを入力し、「VSPHERE CLIENTの起動」をクリックします。

    イメージ 52

    イメージ 53

  2. vSphereログイン・ページで、「OCI-IAMでサインイン」をクリックします。

    イメージ 54

  3. リクエストはOCI IAMログイン・ページにリダイレクトされます。「ユーザー名」「パスワード」に入力します。

    イメージ 56

    認証に成功すると、vSphereホームページに移動します。

    イメージ 55

次のステップ

このチュートリアルでは、フェデレーテッド認証用にOCI IAMをvSphereと統合し、集中型アイデンティティ・プロバイダを介してログインできるようにする方法と、2つのシステム間でユーザー・アカウントが効率的に同期されるようにSCIMプロビジョニングをデモンストレーションしました。この統合により、アイデンティティ管理が簡素化され、セキュリティが強化され、管理者の業務効率が向上します。

承認

その他の学習リソース

docs.oracle.com/learnの他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。

製品ドキュメントは、Oracle Help Centerを参照してください。