ノート:
- このチュートリアルでは、Oracle Cloudへのアクセスが必要です。無料アカウントにサインアップするには、Oracle Cloud Infrastructure Free Tierの開始を参照してください。
- Oracle Cloud Infrastructureの資格証明、テナンシおよびコンパートメントの値の例を使用します。演習を完了するときに、これらの値をクラウド環境に固有の値に置き換えます。
vCenterサーバー・アイデンティティ・プロバイダ・フェデレーションとOCI IAM for Oracle Cloud VMware Solutionの統合
イントロダクション
今日の急速に進化するIT環境では、セキュリティを強化し、管理を簡素化するために、システム間のシームレスな統合が不可欠です。VMware vCenter Server Appliance (VCSA) 8.0 U2を使用すると、管理者はアイデンティティ・フェデレーションにOracle Cloud Infrastructure Identity and Access Management (OCI IAM)を利用できるようになりました。この機能は、Oracle Cloud VMware Solutionのお客様が環境を完全に制御できるため、制限なく変更を実装できます。この統合を有効にすることで、認証プロセスを合理化し、統合されたアクセス制御メカニズムを確立して、VMware環境が最新のアイデンティティ管理プラクティスに確実に準拠し、安全であることを保証できます。
このチュートリアルでは、VCSA 8.0 U2を使用する組織に外部アイデンティティ・プロバイダを採用するメリットを強調します。OCI IAMなどの外部アイデンティティ・プロバイダと統合することで、組織は既存のアイデンティティ・インフラストラクチャを活用し、シングル・サインオン(SSO)プロセスを合理化し、マルチファクタ認証を通じてセキュリティを強化できます。さらに、この統合により、インフラストラクチャとアイデンティティ管理間の職務の分離がサポートされ、セキュリティおよび管理効率のベスト・プラクティスに準拠しています。
アーキテクチャ
外部アイデンティティ・プロバイダ・フェデレーションのアーキテクチャは、VMwareアイデンティティ・サービスを利用したvCenter全体で一貫性があります。このチュートリアルでは、OCI IAMアイデンティティ・ドメインの活用に焦点を当てます。
この統合には2つのフェーズがあります。
-
ユーザー認証: OAuth
ユーザーがVCSAにログインしようとすると、認証リクエストは、VMware Identity Servicesによって開始されたOAuthトークン・リクエストを介してOCI IAMにシームレスにリダイレクトされます。OCI IAMによる認証および検証が成功すると、セキュアなトークンがVMware Identity Servicesに返され、割り当てられた権限に基づいてユーザー・アクセス権が付与されます。
-
ユーザー/グループ・プッシュ: システム・フォー・ドメイン・アイデンティティ管理(SCIM)
OCI IAMはOracle Cloud Infrastructure環境内のユーザーおよびグループの管理を担当し、vCenterはVMware環境で仮想インフラストラクチャを管理します。vCenterで適切なユーザーが正しいアクセス権限を持っていることを確認するために、SCIMプロトコルを使用して、OCI IAMからvCenterにユーザーを自動的にプロビジョニング、更新またはプロビジョニング解除します。OCI IAMでユーザーまたはグループを作成、変更または削除すると、SCIMはvCenterでこれらの変更を自動的に同期します。これにより、手動操作を必要とせずに、両方のシステムのユーザー・アイデンティティが最新の状態に保たれます。
ノート:グループがOCI IAM SCIMアプリケーションで割り当てられると、そのメンバーはVCSAでプロビジョニングされますが、グループ自体は作成されません。
対象読者
OCI IAMプロフェッショナル、Oracle Integration管理者、Oracle Cloud VMware Solution管理者およびVMware管理者。
前提条件
-
OCI IAMの要件:
-
OCIテナンシへのアクセス。
-
OCI IAMのユーザーは、ユーザー名の値をsAMAccountName形式(電子メール形式またはUPN形式ではない)にする必要があります。これは、OCI IAMのSCIMプロビジョニング・プロセスでvCenterにユーザー・アカウントが作成されると、ユーザーのsAMAccountName (
jdoe
など)がプライマリ識別子として使用されるためです。認証プロセス中に、VCSAはドメイン名をsAMAccountNameに自動的に追加して、完全修飾ユーザー識別子を形成します。たとえば、jdoe
がユーザー名で、ドメインがcorp.example.com
の場合、VCSAで使用される結果のアイデンティティはjdoe@corp.example.com
になります。 -
OCI IAMで統合アプリケーションを作成する権限が必要です。詳細は、管理者ロールの理解を参照してください。
-
OCI IAMの「ドメイン」設定の「署名証明書へのアクセス」で、クライアント・アクセスを構成する必要があります。
-
パブリック・サブネットを持つVCN。
-
認証局(CA)バンドルおよびOCI APIゲートウェイを作成するための適切なOCI IAMポリシー。
-
-
OCI IAMおよびvCenterの接続要件:
-
vCenterサーバーは、OCI IAM OAuthエンドポイントにアクセスできる必要があります。デフォルトでは、Oracle Cloud VMware Solutionのデプロイメント中に、vSphere VLAN (vCenterがデプロイされている場所)がすでにNATゲートウェイに接続されています。
-
OCI IAMがvCenter SCIM APIにアクセスできることを確認します。この接続は、OCI API Gatewayサービスを使用して確立されます。このサービスは、OCI IAMとvCenter SCIM API間のセキュアな通信を容易にするプロキシとして機能します。
-
APIゲートウェイには、VCSAに到達するための適切なルートが必要です。このチュートリアルでは、APIゲートウェイ・サブネットとvSphere VCSA VLANの両方が同じCIDR上にあります。
ノート: vSphere VLANルート表にNATゲートウェイ・ルートが含まれていない場合は、VCNに新しいNATゲートウェイを作成し、インターネット・アクセスを有効にするための対応するルート・ルールを追加する必要があります。
-
タスク1: OCI IAMドメインでの機密アプリケーションの登録
機密アプリケーションをそれぞれのOCI IAMドメインに登録します。この機密アプリケーションを使用して、OAuth 2.0認可コード・フローを使用してアクセス・トークンを取得します。
-
OCIコンソールにログインし、「アイデンティティとセキュリティ」に移動して「ドメイン」をクリックします。
-
ドメインを選択します。
-
「統合アプリケーション」をクリックし、OAuthに使用される「機密アプリケーション」を選択して、「ワークフローの起動」をクリックします。
-
アプリケーションの「名前」を入力し、「次へ」をクリックします。
-
「クライアント構成」セクションで、「クライアント資格証明」を選択します。
ノート: 「認可コード」および「リダイレクトURL」を有効にせずにアプリケーションを保存します。タスク2から「リダイレクトURL」を取得した後、アプリケーションを再度更新します。後述を参照してください
-
アプリケーション・ワークフローを完了し、アクティブ化します。「Client ID」および「Client Secret」をコピーします。
-
「ドメイン情報」ページから「ドメインURL」をコピーします。
タスク2: vCenterサーバーでのアイデンティティ・プロバイダ(IdP)の構成とVCenter証明書のダウンロード
vCenterサーバーをOCI IAMと統合して、ユーザーのSSOを有効にします。このタスクでは、VCSAでIdPを構成します。IdPを構成したら、vCenterとOCI API Gatewayの間の信頼を確立するために、IdP構成で使用するvCenter証明書をダウンロードする必要があります。
-
管理者としてvCenterサーバーにログインし、「ホーム」、「管理」、「シングル・サインオン」、「構成」、「アイデンティティ・プロバイダ」、「アイデンティティ・ソース」にナビゲートします。ドロップダウン・メニューから「Okta」を「プロバイダの変更」に選択します。
ノート: Okta IdPテンプレートを使用しますが、OCI IAMの詳細で変更されます。
-
前提条件が満たされていることを確認し、「次へ」を選択します。
-
「ディレクトリ名」、「ドメイン名」を入力し、「次へ」をクリックします。
-
ドロップダウン・メニューから「トークン存続期間」値を選択し、「次へ」をクリックします。
-
「OpenID Connect」セクションで、「リダイレクトURI」をコピーし、タスク1でコピーした「アイデンティティ・プロバイダ名」、「クライアント識別子」および「シークレット」を入力します。
OpenIDアドレスで、タスク1でコピーしたドメインURLを使用して、
/.well-known/openid-configuration
を追加します。詳細を保存したら、「次へ」をクリックします。ノート:タスク1のステップ5で説明したように、リダイレクトURIを書き留め、OCI IAMの機密アプリケーションを更新します。
-
「アイデンティティ・プロバイダ」詳細セクションを確認した後、「終了」をクリックします。
-
「信頼できるルートCA証明書のダウンロード」をクリックして、vCenterから信頼できるルートCA証明書をダウンロードします。
タスク3: OCI IAMでのSCIMアプリケーションの作成
このタスクでは、OCI IAMにSCIM 2.0アプリケーションを作成し、OCI IAMのどのユーザーをvCenterサーバーにプッシュするかを指定できるようにします。
-
OCIコンソールにログインし、「アイデンティティとセキュリティ」にナビゲートし、ドメインを選択して「統合アプリケーション」に移動し、「アプリケーション・カタログ」を選択して新しいアプリケーションを追加します。
-
検索バーにGenericSCIM - Bearer Tokenと入力し、タイルを選択します。
-
アプリケーション「名前」を入力し、「次へ」をクリックします。
-
「プロビジョニングの有効化」を選択します。
-
vCenter URLはパブリックURLではないため、OCI IAMはvCenter SCIM APIにアクセスできません。vCenter SCIM APIを公開するには、パブリックOCI API Gatewayを構成し、vCenter SCIM APIルートを追加します。ここでは、プロビジョニングの「接続の構成」の詳細を空白のままにして、「属性マッピング」セクションを完了します。
ノート:
- デフォルトでは、user.idはexternalIdにマップされます。
user.id
を$(user.userName)
に置き換えます。 - 「プロビジョニング」セクションはタスク6で更新されます。
前提条件で説明したように、OCI IAMのSCIMプロビジョニング・プロセスでvCenterにユーザー・アカウントが作成されると、ユーザーのsAMAccountName (たとえば、
jdoe
)がプライマリ識別子として使用されるため、OCI IAMにはsAMAccountName形式(電子メールまたはUPN形式ではない)のユーザー名値が必要です。次のサンプル属性マッピングを参照してください。 - デフォルトでは、user.idはexternalIdにマップされます。
-
「プロビジョニング操作の選択」セクションで、「アカウントの作成」、「アカウントの削除」、「ユーザー更新のプッシュ」、「ユーザーのアクティブ化/非アクティブ化ステータスのプッシュ」を選択し、「同期の有効化」を有効にして、デフォルト構成を使用します。
タスク4: CAバンドルの作成
OCI API GatewayとVCenterの間で信頼できる接続を確立するには、OCI APIゲートウェイでVCenterの信頼できるルートCA証明書を提供する必要があります。
-
OCIコンソールにログインし、「アイデンティティとセキュリティ」、「証明書」および「CAバンドル」に移動します。
-
「CAバンドルの作成」ページで、適切なコンパートメントを選択し、バンドルに有効な名前を指定して、タスク2でダウンロードした証明書の内容を貼り付けます。
タスク5: OCI APIゲートウェイの構成
OCI IAMがインターネットに公開されていないvCenter SCIM APIにセキュアにアクセスできるようにするために、OCI API Gatewayはプロキシとして機能し、OCI IAMとvCenter SCIM API間のシームレスでセキュアな通信を確保します。
-
OCIコンソールにログインし、「開発者サービス」、「API管理」および「ゲートウェイ」に移動します。
-
「ゲートウェイの作成」ページで、適切な「名前」を入力し、目的の仮想クラウド・ネットワークおよびパブリック・サブネットを選択します。デフォルトの証明書を使用して、「終了」をクリックします。ゲートウェイが完全にデプロイされるまで待機します。
-
「認証局の追加」をクリックして、タスク4で作成したCAバンドルを追加します。
-
「デプロイメント」および「デプロイメントの作成」をクリックします。
-
「Basic Information」セクションに、次の情報を入力します。
- 名前:有効な名前を入力します。
- パス接頭辞:
/
と入力します。 - 実行ログ・レベル: 「情報」を選択します。
-
「認証なし」を選択します。
-
「ルート」セクションで、適切なvCenter SCIM APIエンドポイントを別のルート(ルート1、ルート2、ルート3、ルート4およびルート5)として追加し、「次」をクリックします。
-
ルート1:パスは
/usergroup/t/CUSTOMER/scim/v2
、URLはhttps://<VSCA URL>
-
ルート2:パスは
/usergroup/t/CUSTOMER/scim/v2/Users
、URLはhttps://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Users
-
ルート3:パスは
/usergroup/t/CUSTOMER/scim/v2/Groups
、URLはhttps://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Groups
-
ルート4:パスは
/usergroup/t/CUSTOMER/scim/v2/Groups/{object*}
、URLはhttps://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Groups/${request.path[object]}
-
ルート5:パスは
/usergroup/t/CUSTOMER/scim/v2/Users/{object*}
、URLはhttps://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Users/${request.path[object]}
-
-
デプロイメントが完了するまで待機し、エンドポイントURLをコピーします。
タスク6: OCI IAMでのSCIMアプリケーションの更新
-
OCIコンソールにログインし、「アイデンティティとセキュリティ」にナビゲートし、ドメインを選択して「統合アプリケーション」にナビゲートし、汎用SCIMベアラー・トークン・アプリケーションを選択して、OCI APIゲートウェイ・デプロイメント・エンドポイントURLを貼り付けます。
ノート: 「ホスト名」のみが使用されていることを確認します。
-
「ベースURI」を入力します。
-
vCenterアクセス・トークンを追加します。このためには、vCenterサーバーにログインし、vCenter構成を選択し、トークンを生成してコピーする必要があります。
-
アクセス・トークンをSCIMアプリケーションに貼り付け、「接続のテスト」をクリックします。
タスク7: OCI IAMからvCenterへのユーザーの同期
vCenterサーバーにプッシュするOCI IAMのユーザーを指定するには、それらのユーザーをSCIMアプリケーションに割り当てます。
-
OCIコンソールにログインし、「アイデンティティとセキュリティ」にナビゲートし、ドメインを選択して「統合アプリケーション」にナビゲートし、SCIMアプリケーションを選択して、「ユーザー」および「ユーザーの割当て」をクリックします。
-
プッシュされたユーザーのvCenterで検証し、適切な権限を割り当てます。vCenterサーバーにログインし、vCenter構成を選択し、シングル・サインオンで「ユーザーおよびグループ」をクリックし、追加したドメインを選択してユーザーを検証します。
タスク8: テスト
-
認識できないブラウザにvSphere URLを入力し、「VSPHERE CLIENTの起動」をクリックします。
-
vSphereログイン・ページで、「OCI-IAMでサインイン」をクリックします。
-
リクエストはOCI IAMログイン・ページにリダイレクトされます。「ユーザー名」と「パスワード」に入力します。
認証に成功すると、vSphereホームページに移動します。
次のステップ
このチュートリアルでは、フェデレーテッド認証用にOCI IAMをvSphereと統合し、集中型アイデンティティ・プロバイダを介してログインできるようにする方法と、2つのシステム間でユーザー・アカウントが効率的に同期されるようにSCIMプロビジョニングをデモンストレーションしました。この統合により、アイデンティティ管理が簡素化され、セキュリティが強化され、管理者の業務効率が向上します。
関連リンク
承認
- 著者 - Gautam Mishra (プリンシパル・クラウド・アーキテクト)、Nikhil Verma (プリンシパル・クラウド・アーキテクト)
その他の学習リソース
docs.oracle.com/learnの他のラボを確認するか、Oracle Learning YouTubeチャネルで無料のラーニング・コンテンツにアクセスしてください。また、education.oracle.com/learning-explorerにアクセスしてOracle Learning Explorerになります。
製品ドキュメントは、Oracle Help Centerを参照してください。
Integrate vCenter Server Identity Provider Federation with OCI IAM for Oracle Cloud VMware Solution
G15238-02
September 2024