identity manager windows 版 vmware のインス …...内容 windows 版 vmware identity manager...

Windows 版 VMwareIdentity Manager のインストールと構成

2018 年 9 月VMware Identity Manager 3.3

Windows 版 VMware Identity Manager のインストールと構成

VMware, Inc. 2

VMware Web サイトで最新の技術ドキュメントをご確認いただけます。

https://docs.vmware.com/jp/

VMware の Web サイトでは、最新の製品アップデートを提供しています。

本書に関するご意見、ご要望をお寄せください。フィードバック送信先：

[email protected]

Copyright © 2018 VMware, Inc. All rights reserved. 著作権および商標.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

ヴイエムウェア株式会社

105-0013　東京都港区浜松町 1-30-5浜松町スクエア 13Fwww.vmware.com/jp

https://docs.vmware.com/jp/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

内容

Windows 版 VMware Identity Manager のインストールと構成について 5

1 VMware Identity Manager Services の概要 6

2 Windows 版 VMware Identity Manager のインストールの準備 8

システムとネットワークの構成の要件 8

DNS レコードと IP アドレスの作成 13

VMware Identity Manager サービスデータベースの作成 14

展開チェックリスト 21

3 カスタマーエクスペリエンス向上プログラム 23

4 ロードバランサの背後への VMware Identity Manager マシンの展開 24

ロードバランサまたはリバースプロキシを使用して、 VMware Identity Manager への外部アクセスを有効

にする 24

5 VMware Identity Manager サービスの設定 27

VMware Identity Manager のインストール 27

セットアップウィザードを使用してインストールを完了する 31

ロードバランサの背後への VMware Identity Manager マシンの展開 31

ロードバランサまたはリバースプロキシを使用して、 VMware Identity Manager への外部アクセスを有効

にする 32

ロードバランサへの VMware Identity Manager ルート証明書の適用 34

VMware Identity Manager にロードバランサルート証明書を適用する 35

単一のデータセンターにおけるフェイルオーバーと冗長性の構成 (Windows) 37

Active Directory または LDAP ディレクトリ接続を設定する 42

ホワイトリスト IP アドレスの外部ファイアウォールへの追加 51

インストール後のプロキシ設定の有効化 52

ライセンスキーの入力 52

6 VMware Identity Manager 構成の管理 54

アプライアンスの構成設定の変更 55

SSL 証明書の使用 55

外部データベース使用のための VMware Identity Manager の構成 58

VMware Identity Manager サービス URL の変更 59

コネクタ URL の変更 60

ログファイル情報 60

パスワードの管理 62

VMware, Inc. 3

SMTP 設定を構成する 63

7 インストールおよび構成のトラブルシューティング 65

ディレクトリの同期後にグループにメンバーが表示されない 65

Elasticsearch のトラブルシューティング 66

8 VMware Identity Manager の監視 68

ハードウェアロード容量の監視に関する推奨事項 68

監視のための VMware Identity Manager の URL エンドポイント 69

システムログ 77

VMware Identity Manager サービスに割り当てられているデフォルトメモリの変更 78

9 割合の制限の設定 79

VMware Identity Manager サービスの割合制限の設定 79

VMware Identity Manager Connector の割合制限の設定 82


VMware, Inc. 4

Windows 版 VMware Identity Manager のインストールと構成について

『VMware Identity Manager のインストールと構成』では、Windows サーバ上でのオンプレミス展開向けのVMware Identity Manager サービスのインストールと構成についての情報を提供します。インストールが完了したら、VMware Identity Manager コンソールを使用して、組織のアプリケーション（Web アプリケーション、Horizonアプリケーションおよびデスクトップ、Citrix 公開リソースなど）に対する管理対象マルチデバイスアクセスの使用資格をユーザーに付与することができます。また、本ガイドでは、高可用性を実現する展開環境の構成方法について

も説明します。

対象者

この情報は VMware Identity Manager の管理者を対象としています。VMware テクノロジ、特に、vCenter™、ESX™、vSphere®

、ネットワーキングの概念、Active Directory サーバ、データベース、バックアップとリストアの手順、SMTP (Simple Mail Transfer Protocol)、および NTP サーバに精通している、Windows および Linux のシステム管理者向けに記述されています。RSA SecurID など、その他のテクノロジの知識も、これらの機能の実装を計画している場合に役立ちます。

VMware, Inc. 5

VMware Identity Manager Services の概要 1VMware Identity Manager は、Workspace ONE の ID およびアクセス管理コンポーネントです。Workspace ONE UEM および VMware Horizon の他に、VMware Identity Manager は Web、ネイティブ、および仮想アプリケーションを含む汎用のアプリケーションカタログを展開できます。

VMware Identity Manager はまた、モバイルシングルサインオン (SSO) と、デバイス管理およびコンプライアンスチェックを含む条件付きアクセスの展開にも不可欠です。VMware Identity Manager は、共有 SaaS とオンプレミスの展開モデルの両方に使用できます。

このガイドでは、高可用性とロードバランサ構成を含むオンプレミス環境での Windows 版 VMware Identity Managerの展開方法について説明します。推奨される展開パターンおよび、組織の規模に応じたデータベース、コネクタ、お

よび VMware Identity Manager サーバのサイズの決定方法については、「VMware Identity Manager のインストールの準備」の章を参照してください。

VMware Identity Manager for Windows の展開モデルの図は、Workspace ONE の概要レベルの展開パターンを示します。Workspace ONE UEM デバイスサービスと VMware Identity Manager サービスは、デバイスがサービスに直接アクセスできる DMZ に展開されます。VMware Horizon サービスは、内部ネットワークに展開されます。

図 1‑1. VMware Identity Manager for Windows の展開モデル

VMware IdentityManager サーバ

AirWatchサーバ

Active Directory/その他のディレクトリサービス

HorizonServer

コネクタ

オンプレミス

Workspace ONE のデプロイ

DMZ

エンタープライズネットワーク

VMware, Inc. 6

標準的な展開のための VMware Identity Manager アーキテクチャ図は、クラスタ化されたVMware Identity Manager に必要なロードバランサ構成が記載された詳細図を示します。

図 1‑2. 標準的な展開のための VMWare Identity Manager のアーキテクチャ図

外部デバイス

HTTP(s) 80/88/443および iOS

ポート 443/88ポート 443/88/5262

ポート 443

ポート 443

ポート 80

8 GBロードバランサ

Identity Manager

Identity ManagerDB サーバ

エンタープライズコネクタ

管理者

RSA/DNS/DC53/88/464/135/5500

LDAP 389/636/3268/3269

ポート 80

ポート 443

AD/LDAP

SMTP サーバ

エンタープライズ CA

Workspace Oneインテリジェンス

コネクタ

内部デバイス

外部ファイアウォール

ロードバランサ

ロードバランサ

内部ファイアウォール

DMZ

内部ネットワーク

HTTP(s) 80/443

ポート 443/88/5262

ポート 1443

ポート 1443

ポート 8443

ポート 443

4 コア 100 GB

40 GBDB 12 コア 300 GB

12 GB 6 コア 100 GB

8 GB 1 コア 50 GB

インターネット

[]


VMware, Inc. 7

Windows 版VMware Identity Manager のインストールの準備 2VMware Identity Manager サービスは、新しいスタンドアロンサーバまたは 3 つ以上のノードのクラスタにインストールすることができます。

ハードウェア、リソース、およびネットワークの要件を決定する場合は、リソースの統合方法を含めて、展開環境全

体を考慮します。

この章には、次のトピックが含まれています。

n システムとネットワークの構成の要件

n DNS レコードと IP アドレスの作成

n VMware Identity Manager サービスデータベースの作成

n 展開チェックリスト

システムとネットワークの構成の要件

ハードウェア、リソース、およびネットワークの要件を決定する場合は、リソースの統合方法を含めて、展開環境全

体を考慮します。

ハードウェアのサイズ要件

Windows 用の VMware Identity Managerインストールのハードウェア要件を満たしていることを確認します。

ユーザー数 1,000 まで 1,000-10,000 10,000-25,000 25,000-50,000 50,000-100,000

VMware IdentityManagerサーバの数

1 台のサーバ 3 台のロードバランシングされたサーバ

3 台のロードバランシングされたサーバ



CPU（サーバあたり） 2 つの CPU 2 つの CPU 4 つの CPU 8 つの CPU 8 つの CPU

RAM（サーバあたり） 6 GB 6 GB 8 GB 16 GB 32 GB

ディスク容量（サーバ

あたり）

60 GB 100 GB 100 GB 100 GB 100 GB

追加のスタンドアローンコネクタをインストールする場合は、次の要件を満たしていることを確認します。

VMware, Inc. 8

ユーザー数 1,000 まで 1,000-10,000 10,000-25,000 25,000-50,000 50,000-100,000

接続サーバの数 1 台のサーバ 2 台のロードバランシングされたサーバ




CPU（サーバあたり） 2 つの CPU 4 つの CPU 4 つの CPU 4 つの CPU 4 つの CPU

RAM（サーバあたり） 6 GB 6 GB 8 GB 16 GB 16 GB

ディスク容量（サーバ

あたり）

60 GB 60 GB 60 GB 60 GB 60 GB

Windows インストールのソフトウェア要件

VMware Identity ManagerWindows Server が次のソフトウェア要件を満たしていることを確認します。

要件メモ

サポートされている Windows Server のバージョン

n Windows Server 2008 R2

n Windows Server 2012 R2

n Windows Server 2016

PowerShell 4.0 以降 PowerShell の Active Directory モジュール (RSAT-AD-PowerShell)

JRE 1.8 がインストール済みであること VMware Identity Manager インストーラは、展開前に最新バージョンをインストールします（まだインストールされていない場合）。

JRE のバージョンが古い場合、インストーラは自動的にバージョンを更新しますが、既存の JRE は削除されません。以前のバージョンは手動でアンインストールする必要があります。

RabbitMQ サーバ VMware Identity Manager インストーラは、展開前に RabbitMQサーバをインストールします（まだインストールされていない場合）。

Erlang VMware Identity Manager インストーラは、展開前に Erlang サーバをインストールします（まだインストールされていない場合）。

データベースに関する要件

VMware Identity Managerを外部 Microsoft SQL データベースでセットアップすると、サーバデータを保存して整理できます。

サポートされる Microsoft SQL データベースバージョンとサービスパック構成の詳細については、「VMware 製品の相互運用性マトリックス」(https://www.vmware.com/resources/compatibility/sim/interop_matrix.php) を参照してください。

外部 SQL Server データベースには次の要件が適用されます。SQL Server に必要な仕様は、展開の規模とニーズによって異なります。

ユーザー数 1,000 まで 1,000-10,000 10,000-25,000 25,000-50,000 50,000-100,000

CPU 2 つの CPU 2 つの CPU 4 つの CPU 8 つの CPU 8 つの CPU

RAM 4GB 4GB 8 GB 16 GB 32 GB

ディスク容量 50 GB 50 GB 50 GB 100 GB 100 GB


VMware, Inc. 9

https://www.vmware.com/resources/compatibility/sim/interop_matrix.php

SQL Server AlwaysOn の機能は、高可用性のために、フェイルオーバークラスタリングと、データベースミラーリングおよびログ配布を組み合わせたものです。AlwaysOn は、データベースの複数の読み取りコピーと、単一の読み取り/書き込みコピーによる操作を可能にします。生成されたトラフィックをサポートするバンド幅が展開の環境にある場合、 VMware Identity Managerデータベースは AlwaysOn をサポートします。

ネットワーク構成の要件

コンポーネント最小要件

DNS レコードおよび IP アドレス IP アドレスおよび DNS レコード

VMware Identity Manager は、インストール中に hostname.domainname またはhostname.workgroupname のいずれかを使用します。これらの名前は、サーバの DNS 名に一致するように設定する必要があります。

ファイアウォールポートネットワークの外部のユーザーのために、受信用のファイアウォールポート 443 がVMware Identity Managerインスタンスやロードバランサに対して開いていることを確認します。

リバースプロキシ DMZ 内に F5 Access Policy Manager などのリバースプロキシを構成して、ユーザーにVMware Identity Managerユーザーポータルへの安全なリモートアクセスを提供できます。

VMware Unified Access Gateway2.8 以降はリバースプロキシ機能をサポートし、これによってユーザーは VMware Identity Manager の統合カタログにリモートから安全にアクセスできます。Unified Access Gateway は、VMware Identity Manager アプライアンスのフロントエンドとして動作するロードバランサの背後で DMZ に展開できます。

ポートの要件

ここでは、サーバの構成で使用されるポートについて説明します。展開環境には、これらのポートのサブセットのみ

が含まれる場合があります。例：

n Active Directory からユーザーとグループを同期するため、VMware Identity Managerを Active Directory に接続する必要がある

ポートプロトコル vCenter Server の IP アドレスターゲット説明

443 HTTPS ロードバランサ VMware Identity Manager マシン

443 HTTPS VMware Identity Manager マシンロードバランサロードバランサのFQDN が設定されている場合、その検証に必要で

す。

443、8443 HTTPS/HTTP VMware Identity Manager マシン VMware Identity Manager マシンクラスタ内および異なる

データセンター内のクラ

スタのすべての

VMware IdentityManager インスタンス用。

443 HTTPS ブラウザ VMware Identity Manager マシン

443 HTTPS VMware Identity Manager マシン discovery.awmdm.com Workspace ONE アプリケーションの自動検出

機能へのアクセス


VMware, Inc. 10


443 HTTPS VMware Identity Manager マシン catalog.vmwareidentity.com クラウドカタログへのアクセス

8443 HTTPS ブラウザ VMware Identity Manager マシン管理者ポート

25 SMTP VMware Identity Manager マシン SMTP 送信メールをリレーする

ポート

389

636

3268

3269

LDAP

LDAPS

MSFT-GC

MSFT-GC-SSL

VMware Identity Manager マシン Active Directory デフォルト値が表示され

ています。これらのポー

トは構成可能です。

5500 UDP VMware Identity Manager マシン RSA SecurID システムデフォルト値が表示され

ています。このポートは

構成可能です

53 TCP/UDP VMware Identity Manager マシン DNS サーバすべての仮想アプライア

ンスは、ポート 53 でDNS サーバにアクセスでき、ポート 22 で着信SSH トラフィックを許可する必要があります。

88、464、135、445

TCP/UDP VMware Identity Manager マシンドメインコントローラ

9300 TCP VMware Identity Manager マシン VMware Identity Manager マシン要監査

54328 UDP

5701 TCP VMware Identity Manager マシン VMware Identity Manager マシン Hazelcast キャッシュ

40002

40003

TCP VMware Identity Manager マシン VMware Identity Manager マシン Ehcache

1433 TCP VMware Identity Manager マシンデータベース Microsoft SQL のデフォルトポートは 1433 です。

443 VMware Identity Manager マシン View サーバ View サーバへのアクセス

80、443 TCP VMware Identity Manager マシン Integration Broker サーバ Integration Broker への接続。ポートのオプ

ションは、IntegrationBroker サーバに証明書がインストールされてい

るかどうかによって異な

ります

443 HTTPS VMware Identity Manager マシン AirWatch REST API デバイスのコンプライア

ンスチェックとAirWatch CloudConnector パスワード認証方法用（使用してい

る場合）


VMware, Inc. 11


88 UDP Unified Access Gateway VMware Identity Manager マシンモバイル SSO 用に開くUDP ポート

5262 TCP Android モバイルデバイス AirWatch HTTPS プロキシサービス AirWatch Tunnel クライアントは、Androidデバイス用の HTTPS プロキシにトラフィックを

ルーティングします。

88 UDP iOS モバイルデバイス VMware Identity Manager マシン iOS デバイスからホスト型クラウド KDC サービスへの Kerberos トラフィックに使用される

ポート。

443 HTTPS/TCP

514 UDP VMware Identity Manager マシン syslog サーバ UDP

外部 Syslog サーバ用（構成されている場合）

88 UDP VMware Identity Manager マシンクラウド上のハイブリッド KDC サーバ。ホスト名は、kdc.<Realm> です。たとえば、kdc.op.vmwareidentity.com のようになります。

iOS 版モバイル SSO 認証アダプタ構成の更新を

認証するために使用され

る UDP ポートで、クラウド KDC サービスに保存されます。このポート

はハイブリッド KDC のiOS 版モバイル SSO 機能が使用されている場合

にのみ使用されます。

サポートされるディレクトリ

エンタープライズディレクトリを VMware Identity Managerと統合し、エンタープライズディレクトリのユーザーとグループをサービスに同期します。

n Active Directory 環境は単一 Active Directory ドメイン、単一 Active Directory フォレストの複数のドメイン、または複数の Active Directory フォレスト全体の複数のドメインから成ります。

VMware Identity Managerは、Windows Server 2008、2008 R2、2012、2012 R2、および 2016 用の ActiveDirectory をサポートしています。ドメイン機能レベルおよびフォレスト機能レベルは、Windows Server 2003以降です。

注: 一部の機能については、より上位の機能レベルが要求されることがあります。たとえば、ユーザーがWorkspace ONE から Active Directory パスワードを変更できるようにするには、ドメイン機能レベルがWindows Server 2008 以降である必要があります。


VMware, Inc. 12

VMware Identity Manager コンソールのアクセスに使用できるサポートされるWeb ブラウザ

VMware Identity Manager コンソールは、テナントの管理に使用する Web ベースのアプリケーションです。VMware Identity Manager コンソールには、Mozilla Firefox、Google Chrome、Safari、Microsoft Edge、Internet Explorer 11 の最新バージョンからアクセスできます。

注: Internet Explorer 11 で VMware Identity Manager を通じた認証を行うには、JavaScript を有効にして Cookieを許可する必要があります。

Workspace ONE ポータルへのアクセスに使用されるサポート対象のブラウザ

エンドユーザーは、次のブラウザから自分の Workspace ONE ポータルにアクセスすることができます。

n Mozilla Firefox (最新版)

n Google Chrome (最新版)

n Safari (最新版)

n Internet Explorer 11

n Microsoft Edge ブラウザ

n ネイティブブラウザおよび Google Chrome（Android デバイス）

n Safari（iOS デバイス）

注: Internet Explorer 11 で VMware Identity Manager を通じた認証を行うには、JavaScript を有効にして Cookieを許可する必要があります。

DNS レコードと IP アドレスの作成VMware Identity Manager 仮想アプライアンス用の DNS エントリおよび固定 IP アドレスが利用できる必要があります。会社ごとに管理する IP アドレスや DNS レコードが異なるため、インストールを開始する前に、使用する DNSレコードおよび IP アドレスを確認します。

オプションで逆引きの構成が可能です。逆引きを実装する場合には、DNS サーバに PTR レコードを定義して、仮想アプライアンスが正しいネットワーク構成を使用するようにする必要があります。

ネットワーク管理者に相談する際に、下記の DNS レコードのサンプルリストを使用できます。サンプルリストの情報を、それぞれの環境に合わせて書き換えてください。次のサンプルには、DNS の正引きレコードと IP アドレスが記載されています。

表 2‑1. DNS の正引きレコードと IP アドレスの例

ドメイン名リソースタイプ IP アドレス

myidentitymanager.example.com A 10.28.128.3

次のサンプルには、DNS の逆引きレコードと IP アドレスが記載されています。


VMware, Inc. 13

表 2‑2. DNS の逆引きレコードと IP アドレスの例

IP アドレスリソースタイプホスト名

10.28.128.3 PTR myidentitymanager.example.com

DNS 構成の終了後に、DNS の逆引きが正しく構成されていることを確認します。たとえば、仮想アプライアンスのコマンド host IPaddress は DNS 名を解決する必要があります。

Kerberos 認証の計画

Kerberos 認証の設定を計画する場合は、次の要件に注意してください。

n Kerberos 認証のために VMware Identity Manager で組み込みコネクタを使用する場合、VMware IdentityManager のホスト名は、VMware Identity Manager の参加先の Active Directory ドメインと一致する必要があります。たとえば、Active Directory ドメインが sales.example.com の場合、VMware Identity Managerのホスト名は <vidmhost>.sales.example.com になります。

Active Directory ドメインの構造に一致するホスト名を割り当てることができない場合は、VMware IdentityManager と Active Directory を手動で構成する必要があります。詳細については、ナレッジベースの記事を参照してください。

n Kerberos 認証に外部コネクタを使用するシナリオでは、コネクタのホスト名は、コネクタの参加先の ActiveDirectory ドメインと一致する必要があります。たとえば、Active Directory ドメインが sales.example.comの場合、コネクタのホスト名は <connectorhost>.sales.example.com になります。

Active Directory ドメインの構造に一致するホスト名を割り当てることができない場合は、コネクタと ActiveDirectory を手動で構成する必要があります。詳細については、ナレッジベースの記事を参照してください。

Unix/Linux ベースの DNS サーバの使用

Unix/Linux ベースの DNS サーバを使用していて、 VMware Identity Manager を Active Directory ドメインに参加させる予定がある場合は、Active Directory ドメインコントローラごとに正しいサービス (SRV) リソースレコードが作成されていることを確認します。

注: 仮想 IP アドレス (VIP) が DNS サーバの前にあるロードバランサを使用している場合、VMware Identity Managerは、VIP の使用をサポートしません。複数の DNS サーバをカンマ区切りで指定できます。

VMware Identity Manager サービスデータベースの作成VMware Identity Manager サービスには、サーバデータを保存して整理するための外部 Microsoft SQL Server データベースが必要です。VMware Identity Manager をインストールする前に、データベース管理者が空の MicrosoftSQL Server データベースとスキーマを準備する必要があります。

Microsoft SQL Server に接続するときに、接続するインスタンスの名前と認証モードを入力します。これには、Windows 認証モードを選択して domain\username を指定する方法と、SQL Server 認証モードを選択してローカルユーザー名とパスワードを指定する方法があります。


VMware, Inc. 14

外部データベースには、VMware Identity Manager セットアップウィザードを実行するときに接続します。また、[アプライアンス設定] > [VA 構成] > [データベース接続のセットアップ] ページに移動して外部データベースへの接続を構成することもできます。

Microsoft SQL Server を使用して、高可用性データベース環境をセットアップできます。

データベースサーバの前提条件Microsoft SQL データベースを構成する前に、ハードウェアおよびソフトウェアの要件が展開に対して適切であることを確認します。

サーバのサイズを正しく設定するには、『VMware Workspace ONE UEM Recommended Architecture Guide』のハードウェアのサイズ情報およびその他の技術的な詳細を参照し、データベースを正しく構成できることを確認し

てください。

SQL Server のソフトウェア要件n クライアントツール（SQL Management Studio、Reporting Services、Integration Services、SQL Server

Agent、および最新のサービスパック）をインストール済みの SQL Server 2012、SQL Server 2014、またはSQL Server 2016。SQL Server が 64 ビット（OS および SQL Server）であることを確認します。Standard および Enterprise エディションのみがサポートされます。

n データベースインストーラを実行するには .NET 4.6.2 が必要です。.NET をデータベースサーバにインストールしない場合は、.NET をインストールできる別の Workspace ONE UEM サーバまたはジャンプサーバからデータベースインストーラを実行します。

n SQL Server Agent Windows サービスのサービスの起動タイプが [自動] または [自動（遅延）] に設定されていることを確認します。[手動] に設定されている場合は、データベースのインストール前に SQL Server AgentWindows サービスを手動で起動する必要があります。

TCP/IP を有効にする

TCP/IP を使用してデータベースに接続し、名前付きパイプを無効にします。SQL Server Configuration Managerで、[SQL Server ネットワークの構成] ページに移動し、[MSSQLSERVER のプロトコル] を選択します。

Windows 認証モードで Microsoft SQL データベースを構成するVMware Identity Manager に Microsoft SQL データベースを使用するには、Microsoft SQL Server でデータベースを新規作成する必要があります。セットアップ時に、データベースの認証モードを選択する必要があります。

「Windows 認証」を選択する場合は、データベースを作成するときにユーザー名とドメインを入力します。ユーザー名とドメインは、domain\username として入力されます。

Microsoft SQL コマンドを実行するときには、Microsoft SQL サーバ上でデータベースを作成し、データベース名を入力し、ログインユーザーの認証情報を追加し、スキーマを作成します。スキーマ名は [saas] です。

注: デフォルトの照合は大文字と小文字を区別します。


VMware, Inc. 15

https://docs.vmware.com/jp/VMware-Workspace-ONE-UEM/9.6/vmware-airwatch-guides-96/GUID-AW96-Architecture.html

前提条件

n サポートされているバージョンの Microsoft SQL Server が外部データベースサーバとしてインストールされている。

n ロードバランス機能の実装が構成されている。

n 認証モードとして「Windows 認証」が選択されている。

n Microsoft SQL Server Management Studio か、別の Microsoft SQL Server CLI クライアントから、データベースコンポーネントにアクセスして作成するための管理者権限。

手順

1 sysadmin として Microsoft SQL Server Management Studio セッションにログインするか、sysadmin の権限を持ったユーザーアカウントとしてログインします。

エディタウィンドウが表示されます。

2 ツールバーの [新規クエリ] をクリックします。

3 [saas] という名前のデフォルトのスキーマでデータベースを作成するには、エディタウィンドウで次のコマンドを入力します。

/*Values within angle brackets (< >) are example values. When replacing the example value,remove the angle brackets. The database name is case sensitive. Make sure you enter the database name the same in all instances.*/

CREATE DATABASE <<saasdb>>COLLATE Latin1_General_CS_AS;ALTER DATABASE <<saasdb>> SET READ_COMMITTED_SNAPSHOT ON;GO

IF NOT EXISTS(SELECT nameFROM master.sys.server_principalsWHERE name=N'<domain\username>')BEGINCREATE LOGIN [<domain\username>] FROM WINDOWS;ENDGO

USE <saasdb>; IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<<domain\username>>')DROP USER [<<domain\username>>]GO

CREATE USER [<<domain\username>>] FOR LOGIN [<<domain\username>>] WITH DEFAULT_SCHEMA=saas;GO

CREATE SCHEMA saas AUTHORIZATION "<<domain\username>>"GRANT ALL ON DATABASE::<<saasdb>> TO "<<domain\username>>";


VMware, Inc. 16

GO

ALTER ROLE db_owner ADD MEMBER "<<domain\username>>";GO

4 ツールバーで [!Execute] をクリックします。

これで Microsoft SQL データベースサーバが、VMware Identity Manager データベースと接続する準備が整いました。

サーバ全体のセキュリティ権限を付与するために使用するサーバロールは、[public] に設定されます。データベース役割メンバーシップは [db_owner] です。その他の役割は設定しないでください。

Windows 版 VMware Identity Manager をインストールするときは、接続先としてこのデータベースサーバインスタンスを選択します。インストール後、データベース用に作成された JDBC URL とユーザー名およびパスワードがVMware Identity Manager サーバの [データベース接続のセットアップ] ページで構成されます。「外部データベース使用のための VMware Identity Manager の構成」を参照してください。

ローカルの SQL サーバ認証モードを使用して Microsoft SQL データベースを構成する

VMware Identity Manager に Microsoft SQL データベースを使用するには、Microsoft SQL Server でデータベースを新規作成する必要があります。セットアップ時に、データベースの認証モードを選択する必要があります。「SQLサーバ認証」を選択する場合は、データベースを作成するときにローカルユーザー名とパスワードを入力します。

Microsoft SQL コマンドを実行するときには、Microsoft SQL サーバ上でデータベースを作成し、データベース名を入力し、ログインユーザーの認証情報を追加し、スキーマを作成します。スキーマ名は [saas] です。

注: デフォルトのデータベース照合は大文字と小文字を区別します。

前提条件

n サポートされているバージョンの Microsoft SQL Server が外部データベースサーバとしてインストールされている。

n ロードバランス機能の実装が構成されている。

n 認証モードとして「SQL サーバ認証」が選択されている。

n Microsoft SQL Server Management Studio か、別の Microsoft SQL Server CLI クライアントから、データベースコンポーネントにアクセスして作成するための管理者権限。

手順

1 sysadmin として Microsoft SQL Server Management Studio セッションにログインするか、sysadmin の権限を持ったユーザーアカウントとしてログインします。




VMware, Inc. 17

3 [saas] という名前のデフォルトのスキーマでデータベースを作成するには、エディタウィンドウで次のコマンドを入力します。

/*Values within angle brackets (< >) are example values. When replacing the example value,remove the angle brackets. The database name is case sensitive. Make sure you enter the database name the same in all instances.*/

CREATE DATABASE <<saasdb>>COLLATE Latin1_General_CS_AS;ALTER DATABASE <<saasdb>> SET READ_COMMITTED_SNAPSHOT ON;GO

BEGINCREATE LOGIN <<loginusername>> WITH PASSWORD = N'<<password>>';ENDGO

USE <saasdb>; IF EXISTS (SELECT * FROM sys.database_principals WHERE name=N'<<loginusername>>')DROP USER [<loginusername>]GO

CREATE USER [<<loginusername>>] FOR LOGIN [<<loginusername>>]WITH DEFAULT_SCHEMA=saas;GO

CREATE SCHEMA saas AUTHORIZATION <<loginusername>>GRANT ALL ON DATABASE::<<saasdb>> TO <<loginusername>>;GO

ALTER ROLE [db_owner] ADD MEMBER <<loginusername>>;GO


これで Microsoft SQL データベースサーバが、VMware Identity Manager データベースと接続する準備が整いました。

サーバ全体のセキュリティ権限を付与するために使用するサーバロールは、[public] に設定されます。データベース役割メンバーシップは [db_owner] です。その他の役割は設定しないでください。

Windows 版 VMware Identity Manager をインストールするときは、接続先としてこのデータベースサーバインスタンスを選択します。インストール後、データベース用に作成された JDBC URL とユーザー名およびパスワードがVMware Identity Manager サーバの [データベース接続のセットアップ] ページで構成されます。「外部データベース使用のための VMware Identity Manager の構成」を参照してください。


VMware, Inc. 18

Microsoft SQL データベースが正しく構成されていることを確認Microsoft SQL データベースが VMware Identity Manager で正しく動作するように構成されていることを確認するには、データベースの構成後に次の検証スクリプトを実行します。

前提条件

VMware Identity Manager サービスの Microsoft SQL データベースが作成されます。

手順

1 データベースの作成に使用したスクリプトで作成された <saasdb> ログインユーザー名とパスワードを使用して、Microsoft SQL Server Management Studio セッションにログインします。



3 次のコマンドを実行します。必要に応じてコマンドを編集します。

execute as user = 'domain\username'

/* Check if user is db owner. Return true */SELECT IS_ROLEMEMBER('db_owner') as isRoleMember /* Make sure user is not sysadmin. Should return false */SELECT IS_SRVROLEMEMBER('sysadmin') as isSysAdmin /* check if saas schema exists, should be not null */SELECT SCHEMA_ID('saas') as schemaId /* check schema owner, should be user provided to installer */SELECT SCHEMA_OWNER FROM INFORMATION_SCHEMA.SCHEMATA where SCHEMA_NAME='saas' /* check if saas is user default schema, should return saas */SELECT SCHEMA_NAME() as SchemaName /* check db collation, should return Latin1_General_CS_AS */SELECT DATABASEPROPERTYEX('<saasdb>', 'Collation') AS Collation /* check if read committed snapshot is on, should return true */SELECT is_read_committed_snapshot_on FROM sys.databases WHERE name='<saasdb>'


構成が正しくない場合、エラーメッセージが表示されます。外部 Microsoft SQL データベースを使用するための VMware Identity Manager サービスを構成する手順を続ける前に、エラーメッセージに示された問題を修正します。


VMware, Inc. 19

データベースレベルのロールの変更

VMware Identity Manager サービスのための Microsoft SQL データベースを作成するために saas スキーマを使用する場合、データベースロールメンバーシップが db_owner ロールに付与されます。db_owner 固定データベースロールのメンバーは、データベースのすべての構成および保守アクティビティを実行できます。

VMware Identity Manager サービスでデータベースを設定および構成した後、db_owner へのアクセスを取り消して、db_datareader および db_datawriter をデータベースロールとして追加できます。db_datareader ロールのメンバーは、すべてのユーザーテーブルからすべてのデータを読み取ることができます。db_datawriter ロールのメンバーは、すべてのユーザーテーブルのデータを追加、削除、または変更できます。

注: db_owner へのアクセスを取り消す場合は、新しいバージョンの VMware Identity Manager へのアップグレードを開始する前に、db_owner ロールが許可されていることを確認します。

前提条件

sysadmin または sysadmin の権限を持ったユーザーアカウントとしての Microsoft SQL Server ManagementStudio に対するユーザーロール。

手順

1 sysadmin 権限を持つ管理者としてログインしている Microsoft SQL Server Management Studio セッションで、VMware Identity Manager のデータベースインスタンス <saasdb> に接続します。

2 データベース上でロール [db_owner] を取り消し、次のコマンドを入力します

認証モードコマンド

Windows 認証（ドメイン\ユーザー）

ALTER ROLE db_owner DROP MEMBER <domain\username>;

SQL サーバ認証（ローカルユーザー）

ALTER ROLE db_owner DROP MEMBER <loginusername>;

3 [db_datawriter] および [db_datareader] ロールメンバーシップをデータベースに追加します。

認証モードコマンド


ALTER ROLE db_datawriter ADD MEMBER <domain\username>;GO

ALTER ROLE db_datareader ADD MEMBER <domain\username>;GO


ALTER ROLE db_datawriter ADD MEMBER <loginusername>;GOALTER ROLE db_datareader ADD MEMBER <loginusername>;GO


VMware, Inc. 20

展開チェックリスト

展開チェックリストを使用して、VMware Identity Managerコネクタ仮想アプライアンスの展開に必要な情報を収集できます。

ディレクトリ情報

VMware Identity Manager は Active Directory または LDAP ディレクトリ環境との統合をサポートします。

表 2‑3. Active Directory ドメインコントローラ情報チェックリスト

収集する情報情報を記入

Active Directory サーバ名

Active Directory ドメイン名

ベース DN

LDAP 経由の Active Directory の場合、バインド DN ユーザー名とパスワード

Active Directory（統合 Windows 認証）の場合、コンピュータをドメインに参加させる権限を持つアカウントのユーザー名とパスワード。

表 2‑4. LDAP ディレクトリサーバ情報チェックリスト


LDAP ディレクトリサーバ名または IP アドレス

LDAP ディレクトリサーバのポート番号

ベース DN

バインド DN ユーザー名とパスワード

グループオブジェクト、バインドユーザーオブジェクト、およびユーザーオブジェクトの LDAP 検索フィルタ

メンバーシップ、オブジェクト UUID および識別名のための LDAP 属性名

SSL 証明書

VMware Identity Manager サービスを展開した後に、SSL 証明書を追加できます。

表 2‑5. SSL 証明書情報チェックリスト


SSL 証明書

秘密キー


VMware, Inc. 21

ライセンスキー表 2‑6. VMware Identity Manager ライセンスキー情報チェックリスト


ライセンスキー

注: 展開が完了したら、VMware Identity Manager コンソールの [アプライアンス設定] - [ライセンス] ページに、ライセンスキー情報を入力します。

外部データベース

表 2‑7. 外部データベース情報チェックリスト


データベースホスト名

ポート

ユーザー名

パスワード


VMware, Inc. 22

カスタマーエクスペリエンス向上プログラム 3VMware カスタマーエクスペリエンス向上プログラム (CEIP) で収集される情報は、VMware 製品およびサービスの向上、問題の解決、各製品のデプロイおよび使用に関する最適な方法をお客様に提案するために役立てられます。

CEIP の一環として、VMware は、お客様の組織の VMware ライセンスキーと関連付けて、VMware 製品およびサービスの使用に関する技術的な情報を定期的に収集します。この情報は、お客様個人を特定するものではありません。

VMware の CEIP への参加を希望されない場合は、VMware Identity Manager のインストール時にチェックボックスをオフにします。

この製品の CEIP は、インストール後にいつでも参加または中止していただけます。

VMware, Inc. 23

ロードバランサの背後へのVMware Identity Manager マシンの展開 4エンタープライズ環境で推奨される VMware identity Manager マシンの構成は、高可用性のために VMware IdentityManager サービスの 3 ノードクラスタを展開することです。最初の IDM ノードがロードバランサの背後にインストールされ、構成とテストが完了すると、最初のインスタンスのコピーを作成するために最初のノードでスクリプト

が実行されます。このコピーされたファイルは、クラスタ内で他のノードを作成するために使用されます。

VMware Identity Manager アーキテクチャ図は、VMware Identity Manager 環境を展開する方法を示しています。

章 1 「VMware Identity Manager Services の概要」を参照してください。

ロードバランサまたはリバースプロキシを使用して、VMware Identity Manager への外部アクセスを有効にする展開時に、内部ネットワーク内に VMware Identity Manager マシンがセットアップされます。ネットワークの外側から接続するユーザーがサービスにアクセスできるようにする場合は、Apache、Nginx、F5 などのロードバランサまたはリバースプロキシを DMZ にインストールする必要があります。

ロードバランサまたはリバースプロキシを使用しない場合、VMware Identity Manager マシンの数を後で増やすことはできません。冗長性やロードバランスを実現するために、マシンの追加が必要になる可能性があります。下記の図に、外部アクセスを有効するために使用できる、基本展開アーキテクチャを示します。

VMware, Inc. 24

図 4‑1. 外部ロードバランサプロキシと仮想マシン

外部ロードバランサホスト名：VMware Identity Manager FQDNIP アドレスの例: 64.x.y.zポート：VMware Identity Manager ポートX-Forwarded-For ヘッダを有効にする必要があります。

外部ユーザー

内部ロードバランサホスト名：VMware Identity Manager FQDNIP アドレスの例: 10..x.y.zポート：VMware Identity Manager ポートX-Forwarded-For ヘッダを有効にする必要があります。

内部ユーザー

ポート 443

ポート 443

VMware Identity Manager クラスタ

DMZ ファイアウォール

展開時に VMware Identity Manager FQDN を指定する

VMware Identity Manager マシンの展開時に、VMware Identity Manager FQDN とポート番号を入力します。これらの値は、エンドユーザーがアクセスするホスト名を示している必要があります。

VMware Identity Manager マシンは、常にポート 443 で実行されます。ロードバランサには、異なるポート番号を使用できます。異なるポート番号を使用する場合は、展開時に指定する必要があります。ポート番号には 8443 を使用しないでください。このポート番号は VMware Identity Manager の管理ポートで、クラスタ内のマシンごとに一意です。

構成するロードバランサ設定

X-Forwarded-For ヘッダの有効化、ロードバランサのタイムアウトの正確な設定、およびスティッキーセッションの有効化など、ロードバランサの設定を構成します。さらに、VMware Identity Manager マシンとロードバランサ間に SSL トラストを構成する必要があります。

n X-Forwarded-For ヘッダー

ロードバランサで X-Forwarded-For ヘッダーを有効にする必要があります。これによって、認証方法が決定します。詳細については、ロードバランサのベンダーから提供されるドキュメントを参照してください。


VMware, Inc. 25

n ロードバランサのタイムアウト

VMware Identity Manager が正しく機能するように、ロードバランサの要求のタイムアウトをデフォルトの値から増やす必要がある場合があります。この値は、分単位で設定します。タイムアウト設定が短すぎると、“502error: The service is unavailable.” というエラーが発生することがあります。

n スティッキーセッションの有効化

環境に複数の VMware Identity Manager マシンがある場合は、ロードバランサ上でスティッキーセッションの設定を有効にする必要があります。ロードバランサはユーザーのセッションを特定のインスタンスにバインドします。

n WebSocket サポート

ロードバランサには、コネクタと VMware Identity Manager ノード間のセキュアな通信チャネルを有効にするための WebSocket サポートが必要です。

n Forward Secrecy 付き暗号

Apple iOS App Transport Security 要件は iOS の Workspace ONE アプリケーションに適用されます。ユーザーが iOS で Workspace ONE アプリケーションを使用できるようにするには、ロードバランサに ForwardSecrecy 付き暗号が必要です。次の暗号がこの要件を満たしています。

GCM または CBC モードの ECDHE_ECDSA_AES および ECDHE_RSA_AES

iOS 11 の『iOS セキュリティ』ドキュメントには次のように記載されています。

「App Transport Security は、アプリケーションが NSURLConnection、CFURL、または NSURLSession APIを使用する場合のセキュアな接続についてのベストプラクティスを遵守するための、デフォルトの接続要件を提供します。デフォルトでは、App Transport Security は暗号の選択を制限し、特に GCM または CBC モードでの ECDHE_ECDSA_AES および ECDHE_RSA_AES など、Forward Secrecy を提供するスイートのみを含むようにしています。」


VMware, Inc. 26

VMware Identity Manager サービスの設定 5この章には、次のトピックが含まれています。

n VMware Identity Manager のインストール

n セットアップウィザードを使用してインストールを完了する

n ロードバランサの背後への VMware Identity Manager マシンの展開

n ロードバランサまたはリバースプロキシを使用して、VMware Identity Manager への外部アクセスを有効にする

n ロードバランサへの VMware Identity Managerルート証明書の適用

n VMware Identity Manager にロードバランサルート証明書を適用する

n 単一のデータセンターにおけるフェイルオーバーと冗長性の構成 (Windows)

n Active Directory または LDAP ディレクトリ接続を設定する

n ホワイトリスト IP アドレスの外部ファイアウォールへの追加

n インストール後のプロキシ設定の有効化

n ライセンスキーの入力

VMware Identity Manager のインストール一覧表示されたすべてのシステム構成要件を満たす Windows サーバ上で VMware Identity Manager インストーラを実行します。

前提条件

「システムとネットワークの構成の要件」を参照してください。

手順

1 VMware Identity Manager インストーラをダブルクリックします。

管理者権限のあるアカウントからインストーラを実行します。

VMware, Inc. 27

2 [ようこそ] ダイアログボックスで、[次へ] をクリックします。

インストーラは、サーバ上の前提条件を確認します。.NET や TLS などの必要なソフトウェアがインストールされていない場合は、それらのソフトウェアをインストールしてサーバを再起動するよう求められます。再起動後、

VMware Identity Manager インストーラを再実行します。

3 エンドユーザー使用許諾契約書 (EULA) に同意し、[次へ] をクリックします。

4 [カスタマーエクスペリエンス向上プログラム] ダイアログボックスのデフォルトのアクションは [はい] に設定されています。

本製品は、VMware カスタマーエクスペリエンス向上プログラム（「CEIP」）に参加しています。CEIP を通して収集されるデータおよび VMware のその使用目的に関する詳細は、Trust & Assurance(http://www.vmware.com/trustvmware/ceip.html) に記載されています。この製品で VMware の CEIP への参加を希望されない場合は、チェックボックスをオフにします。

この製品の CEIP は、インストール後にいつでも参加または中止していただけます。

注: CEIP で収集されたデータを VMware に送信するために HTTP プロキシを介してインターネットに接続するようにネットワークが構成されている場合、VMware Identity Manager マシンでプロキシ設定を調整する必要があります。

5 VMware Identity Manager の前提条件が一覧表示されます。インストーラは、必要なモジュールをチェックします。必要なモジュールをインストールするように求められます。

図 5‑1. インストールされた前提条件の確認

6 VMware Identity Manager サービスをインストールするディレクトリを選択します。

7 このノードがクラスタにインストールされている最初のサービスインスタンスである場合は、[次へ] をクリックします。

クラスタに追加のインスタンスをインストールする場合は、チェックボックスをオンにして、インポートする最初のインスタンスに対するエクスポートされた ZIP ファイルを参照します。

8 ホスト名とポート 443 は、[構成] ダイアログボックスにあらかじめ入力されています。[次へ] をクリックします。


VMware, Inc. 28

http://www.vmware.com/trustvmware/ceip.html

9 [データベースサーバ] ダイアログボックスで、接続先の VMware Identity Manager データベースサーバインスタンスと認証モードを選択します。

オプション説明

VMware Identity Manager データベースサーバ

データベースの FQDN を入力するか、[参照] をクリックしてリストからデータベースサーバURL を選択します。データベース FQDN の例については、http://MyDBServer と入

力します。

アプリケーションの接続方法 [Windows 認証] モードまたは [SQL Server 認証モード] を選択することができます。SQLServer 認証の場合、ローカルユーザー名とパスワードを入力します。

VMware Identity Manager データベース名 MySQL データベースを設定するときに作成したデータベース名を入力するか、データベースの名前を変更した場合は SQL Server を参照してリストから名前を選択します。

SQL AlwaysOn? SQL Server でのフェイルオーバーを高速化するには、[SQL AlwaysOn] を有効にして SQLServer で MultiSubNetFailover を True に設定します。

SQL Server AlwaysOn の機能は、フェイルオーバークラスタリングとデータベースミラーリング/ログ配布を組み合わせたものです。これは、データベースの複数の読み取りコピーと、読み取り/書き込み操作の単一のコピーを可能にします。生成されたトラフィックをサポートするバンド幅がネットワークにある場合、Identity Manager データベースはAlwaysOn をサポートします。

図 5‑2. SQL AlwayOn オプションを使用したデータベースの構成

[次へ] をクリックします。

インストーラは、データベースが正しく構成されていることを検証します。構成が正しくない場合はエラーメッセージが表示され、インストールを続行できません。エラーメッセージに示された問題を修正してください。「Microsoft SQL データベースが正しく構成されていることを確認」を参照してください。

10 サービスを Windows ドメインユーザーとして実行する場合は、[VMware Identity Manager サービスアカウント] ダイアログボックスでチェックボックスをオンにします。

次の場合にドメインユーザーとしてサービスを実行します。

n Active Directory（統合 Windows 認証）に接続する場合。

n Kerberos 認証を使用する場合。


VMware, Inc. 29

n Horizon View を VMware Identity Manager と統合し、[ディレクトリ同期を実行] オプションまたは [5.x接続サーバの構成] オプションを使用する場合。

ドメインユーザーアカウントを使用しない場合は、サービスはローカルシステムとして実行されます。

図 5‑3. ドメインユーザーアカウントの構成

11 [インストール] をクリックして、インストールを開始します。

12 [終了] をクリックします。

VMware Identity Server が初期化され、VMware Identity Manager コンソールにログインしてセットアップを完了するための VMware Identity Manager URL が表示されます。今すぐセットアップを完了するには、[はい] をクリックします。または、後でログインするために URL をメモしておきます。

図 5‑4. Identity Manager コンソールへのログインに関する情報

次のステップ

[VMware Identity Manager セットアップ] ウィザードを実行してサービス構成を終了します。


VMware, Inc. 30

図 5‑5. セットアップウィザード

セットアップウィザードを使用してインストールを完了するVMware Identity Manager の展開後、セットアップウィザードを使用して VMware Identity Manager のマシン管理パスワードを設定し、自己署名証明書を受け入れ、データベースの JDBC URL を確認します。

セットアップウィザードを実行する場合は、完全修飾ホスト名を使用します。名前には IP アドレスを入力しないでください。

手順

1 インストールが完了したら、表示された VMware Identity Manager URL に移動します。完全修飾ドメイン名(FQDN) を入力します。たとえば、https://<hostname.example>.com のように表示されます。

2 証明書への同意を求めるメッセージが表示されたら、同意します。

インストール中に、自己署名証明書が展開されます。初期設定後に、署名付き証明書に更新できます。

3 [開始する] ページで [続行] をクリックします。

4 [パスワードを設定] ページで、アプライアンスの管理者パスワードを設定します。管理者ユーザーは、6 文字以上のパスワードを使用する必要があります。[続行] をクリックします。

[admin] ユーザーアカウントは、アプライアンス設定の管理に使用されます。

5 [データベースを選択] ページに、データベースの JDBC URL が表示されます。

データベースへの接続を構成し、データベースを初期化します。

[セットアップが完了しました] ページが表示されます。

次のステップ

Active Directory を設定します。「Active Directory または LDAP ディレクトリ接続を設定する」を参照してください。

ロードバランサの背後への VMware Identity Manager マシンの展開エンタープライズ環境で推奨される VMware identity Manager マシンの構成は、高可用性のために VMware IdentityManager サービスの 3 ノードクラスタを展開することです。最初の IDM ノードがロードバランサの背後にインストールされ、構成とテストが完了すると、最初のインスタンスのコピーを作成するために最初のノードでスクリプト

が実行されます。このコピーされたファイルは、クラスタ内で他のノードを作成するために使用されます。

VMware Identity Manager アーキテクチャ図は、VMware Identity Manager 環境を展開する方法を示しています。

章 1 「VMware Identity Manager Services の概要」を参照してください。


VMware, Inc. 31

ロードバランサまたはリバースプロキシを使用して、VMware Identity Manager への外部アクセスを有効にする展開時に、内部ネットワーク内に VMware Identity Manager マシンがセットアップされます。ネットワークの外側から接続するユーザーがサービスにアクセスできるようにする場合は、Apache、Nginx、F5 などのロードバランサまたはリバースプロキシを DMZ にインストールする必要があります。

ロードバランサまたはリバースプロキシを使用しない場合、VMware Identity Manager マシンの数を後で増やすことはできません。冗長性やロードバランスを実現するために、マシンの追加が必要になる可能性があります。下記の図に、外部アクセスを有効するために使用できる、基本展開アーキテクチャを示します。

図 5‑6. 外部ロードバランサプロキシと仮想マシン

外部ロードバランサホスト名：VMware Identity Manager FQDNIP アドレスの例: 64.x.y.zポート：VMware Identity Manager ポートX-Forwarded-For ヘッダを有効にする必要があります。

外部ユーザー

内部ロードバランサホスト名：VMware Identity Manager FQDNIP アドレスの例: 10..x.y.zポート：VMware Identity Manager ポートX-Forwarded-For ヘッダを有効にする必要があります。

内部ユーザー

ポート 443

ポート 443

VMware Identity Manager クラスタ

DMZ ファイアウォール


VMware, Inc. 32

展開時に VMware Identity Manager FQDN を指定する

VMware Identity Manager マシンの展開時に、VMware Identity Manager FQDN とポート番号を入力します。これらの値は、エンドユーザーがアクセスするホスト名を示している必要があります。

VMware Identity Manager マシンは、常にポート 443 で実行されます。ロードバランサには、異なるポート番号を使用できます。異なるポート番号を使用する場合は、展開時に指定する必要があります。ポート番号には 8443 を使用しないでください。このポート番号は VMware Identity Manager の管理ポートで、クラスタ内のマシンごとに一意です。

構成するロードバランサ設定

X-Forwarded-For ヘッダの有効化、ロードバランサのタイムアウトの正確な設定、およびスティッキーセッションの有効化など、ロードバランサの設定を構成します。さらに、VMware Identity Manager マシンとロードバランサ間に SSL トラストを構成する必要があります。

n X-Forwarded-For ヘッダー

ロードバランサで X-Forwarded-For ヘッダーを有効にする必要があります。これによって、認証方法が決定します。詳細については、ロードバランサのベンダーから提供されるドキュメントを参照してください。

n ロードバランサのタイムアウト

VMware Identity Manager が正しく機能するように、ロードバランサの要求のタイムアウトをデフォルトの値から増やす必要がある場合があります。この値は、分単位で設定します。タイムアウト設定が短すぎると、“502error: The service is unavailable.” というエラーが発生することがあります。

n スティッキーセッションの有効化

環境に複数の VMware Identity Manager マシンがある場合は、ロードバランサ上でスティッキーセッションの設定を有効にする必要があります。ロードバランサはユーザーのセッションを特定のインスタンスにバインドします。

n WebSocket サポート

ロードバランサには、コネクタと VMware Identity Manager ノード間のセキュアな通信チャネルを有効にするための WebSocket サポートが必要です。

n Forward Secrecy 付き暗号

Apple iOS App Transport Security 要件は iOS の Workspace ONE アプリケーションに適用されます。ユーザーが iOS で Workspace ONE アプリケーションを使用できるようにするには、ロードバランサに ForwardSecrecy 付き暗号が必要です。次の暗号がこの要件を満たしています。

GCM または CBC モードの ECDHE_ECDSA_AES および ECDHE_RSA_AES

iOS 11 の『iOS セキュリティ』ドキュメントには次のように記載されています。


VMware, Inc. 33

「App Transport Security は、アプリケーションが NSURLConnection、CFURL、または NSURLSession APIを使用する場合のセキュアな接続についてのベストプラクティスを遵守するための、デフォルトの接続要件を提供します。デフォルトでは、App Transport Security は暗号の選択を制限し、特に GCM または CBC モードでの ECDHE_ECDSA_AES および ECDHE_RSA_AES など、Forward Secrecy を提供するスイートのみを含むようにしています。」

ロードバランサへの VMware Identity Manager ルート証明書の適用ロードバランサの背後に VMware Identity Manager仮想アプライアンスが構成されている場合は、ロードバランサと VMware Identity Manager 間の SSL トラストを確立する必要があります。VMware Identity Managerルート証明書をロードバランサにコピーする必要があります。

VMware Identity Managerルート証明書は、VMware Identity Manager 管理コンソールの [アプライアンス設定]- [構成の管理] - [SSL 証明書のインストール] - [サーバ証明書] ページからダウンロードできます。

VMware Identity ManagerFQDN がロードバランサを参照している場合は、SSL 証明書をロードバランサのみに適用できます。

ロードバランサは VMware Identity Manager仮想マシンと通信するため、VMware Identity Manager ルート CA証明書を信頼できる証明書としてロードバランサにコピーする必要があります。

手順

1 VMware Identity Manager コンソールで、[アプライアンス設定] タブを選択し、[VA 構成] - [構成の管理] の順にクリックします。

2 表示されるダイアログボックスで、管理者ユーザーパスワードを入力します。

3 [SSL 証明書のインストール] - [サーバ証明書] を選択します。

4 [アプライアンスの自己署名ルート CA 証明書] リンクをクリックします。


VMware, Inc. 34

証明書が表示されます。

5 -----BEGIN CERTIFICATE----- と -----END CERTIFICATE---- の行を含み、これらの行の間にあるすべての行をコピーして、各ロードバランサの正しい場所にルート証明書を貼り付けます。ロードバランサのベンダーが提供するドキュメントを参照してください。

次のステップ

ロードバランサのルート証明書をコピーして、VMware Identity Managerアプライアンスに貼り付けます。

VMware Identity Manager にロードバランサルート証明書を適用するロードバランサの背後に VMware Identity Manager 仮想アプライアンスが構成されている場合は、ロードバランサと VMware Identity Manager 間のトラストを確立する必要があります。VMware Identity Manager ルート証明書をロードバランサにコピーし、さらにロードバランサのルート証明書を VMware Identity Manager にコピーする必要があります。

手順

1 ロードバランサのルート証明書を取得します。


VMware, Inc. 35

2 VMware Identity Manager コンソールで、[アプライアンス設定] タブを選択し、[VA 構成] - [構成の管理] の順にクリックします。

3 表示されるダイアログボックスで、管理者ユーザーパスワードを入力します。

4 [SSL 証明書のインストール] - [信頼される CA] を選択します。

5 ロードバランサのルート証明書を [ルート証明書または中間証明書] テキストボックスに貼り付けます。

6 [追加] をクリックします。


VMware, Inc. 36

単一のデータセンターにおけるフェイルオーバーと冗長性の構成(Windows)フェイルオーバーと冗長性を実現するために、複数の VMware Identity Manager マシンをクラスタに追加できます。何らかの理由でマシンのいずれかがシャットダウンした場合、VMware Identity Manager を引き続き使用できます。

Windows サーバに VMware Identity Manager をインストールして構成した後、スクリプトを実行し、Windows版 VMware Identity Manager の最初のインスタンスをコピーして ENC ファイルを作成します。この場合、元のインスタンスと同じ構成を使用します。

最初のインスタンスのコピーを作成する前に、ロードバランサの背後に最初のノードを構成し、完全修飾ドメイン名(FQDN) をロードバランサの FQDN と一致するように変更する必要があります。また、ENC ファイルを作成する前に VMware Identity Manager サービスのディレクトリ構成を完了します。

各ノードで Windows 版 VMware Identity Manager インストーラを実行し、コピーした ENC ファイルをインポートします。これらのノードの名前、ネットワーク設定、およびその他のプロパティを必要に応じて変更し、カスタマ

イズできます。ノードによって IP アドレスは異なります。この IP アドレスは最初のノードの IP アドレスと同じガイドラインに従う必要があります。IP アドレスは、正引きと逆引きの DNS を使用して有効なホスト名に解決する必要があります。

クラスタのすべてのノードは同一で、お互いにほぼステートレスなコピーです。Active Directory と、構成されている Horizon などのリソースとの同期は、最初のノードでは有効ですが、クラスタ内のその他のすべてのノードでは無効です。

VMware Identity Manager の FQDN をロードバランサの FQDN に変更するVMware Identity Manager マシンのインスタンスをコピーする前に、ロードバランサの FQDN に一致するように、その完全修飾ドメイン名 (FQDN) を変更する必要があります。

前提条件

n VMware Identity Manager インスタンスがロードバランサに追加されます。

n ロードバランサのルート CA 証明書を VMware Identity Manager に適用しました。

手順

1 VMware Identity Manager の管理コンソールにログインします。

2 [アプライアンス設定] タブを選択します。

3 [仮想アプライアンスの構成] ページで [構成の管理] をクリックします。

4 管理者パスワードを入力してログインします。

5 [Identity Manager の構成] をクリックします。


VMware, Inc. 37

6 [Identity Manager FQDN] フィールドで、URL のホスト名部分を VMware Identity Manager のホスト名からロードバランサのホスト名に変更します。

たとえば、VMware Identity Manager のホスト名が myservice であり、ロードバランサのホスト名が mylb

の場合、URL の

https://myservice.example.com

を次のように変更します。

https://mylb.example.com

7 [保存] をクリックします。

n サービスの FQDN がロードバランサの FQDN に変更されます。

n ID プロバイダの URL がロードバランサの URL に変更されます。

次のステップ

スクリプトを実行して、Windows 版 VMware Identity Manager の最初のノードの ENC ファイルを生成します。

VMware Identity Manager クラスタを作成するためのノードの追加VMware Identity Manager の最初のインスタンスをインストールした後に VMware Identity Manager サービスを使用してクラスタを作成するには、そのインスタンスをコピーし、元のインスタンスと同じ構成のイメージを作成し

ます。


VMware, Inc. 38

複数の VMware Identity Manager サービスを使用する場合は、3 つ以上のノードが必要です。

注: VMware Identity Manager コンポーネントには、検索と分析のエンジンである Elasticsearch が含まれています。Elasticsearch には、クラスタに関して 2 つのノードという既知の制限があります。

前提条件

最初の VMware Identity Manager インスタンスが展開されテスト済みであること。

クラスタ構成ファイルが最初のインスタンス構成から作成されていること。

1 VMware Identity Manager コンソールで、[アプライアンス設定] > [VA 構成] ページで、[構成の管理] をクリックします。

2 [クラスタファイルの場所] をクリックします。

3 クラスタファイルの暗号化と復号化に使用するパスワードを入力します。

4 [クラスタバンドルの準備] をクリックします。VMware Identity Manager のインスタンスの ZIP ファイルが作成されます。

5 アクセスできる場所に ZIP ファイルをダウンロードします。

手順

1 クラスタ内に構成されている各マシンで Windows 版 VMware Identity Manager インストーラを実行します。

管理者権限のあるアカウントからインストーラを実行します。

2 [ようこそ] ダイアログボックスで、[次へ] をクリックします。

インストーラは、サーバ上の前提条件を確認します。.NET や TLS などの必要なソフトウェアがインストールされていない場合は、それらのソフトウェアをインストールしてサーバを再起動するよう求められます。再起動後、

VMware Identity Manager インストーラを再実行します。

3 エンドユーザー使用許諾契約書 (EULA) に同意し、[次へ] をクリックします。

4 デフォルトでは、[カスタマーエクスペリエンス向上プログラム] ラジオボタンはオンになっています。データを収集されたくない場合は、ラジオボタンをオフにします。

VMware はお客様のご要望への対応を向上させるために、お客様の展開環境に関する匿名データを収集します。

5 VMware Identity Manager の前提条件が一覧表示されます。インストーラは、必要なモジュールをチェックします。必要なモジュールをインストールするように求められます。

6 VMware Identity Manager サービスをインストールするディレクトリを選択します。

7 [構成] ダイアログボックスで、[既存のクラスタに参加しますか?] チェックボックスをオンにして、最初のインスタンスのクラスタ構成 (ENC) ファイルを参照します。

デフォルトでは、ファイルは <

INSTALL_DIR>\VMwareIdentityManager\usr\local\horizon\< filename>.enc にありま

す。

8 クラスタ構成 ENC ファイル用に作成したクラスタパスワードを入力し、[次へ] をクリックします。


VMware, Inc. 39

9 [インストール] をクリックして、インストールを開始します。

10 インストールを終了するには、[終了] をクリックします。

すべての VMware Identity Manager 構成ファイルがサーバにコピーされます。

次のステップ

クローン作成されたマシンをロードバランサに追加します。

クラスタからのノードの削除

VMware Identity Managerクラスタのノードが正常に機能せず、復元できない場合は、Remove Node コマンドを使用してクラスタからノードを削除することができます。このコマンドを使用すると、VMware Identity Managerデータベースからノードのエントリが削除されます。

クラスタ内のノードの健全性は、システム診断ダッシュボードでステータスを表示して確認できます。「現在のノード

の状態が正しくありません」というメッセージが表示された場合は、ノードが正しく機能していないことを示します。

重要: Remove Node コマンドは慎重に使用してください。ノードが回復不能な状態で、VMware Identity Managerデプロイから完全に削除する必要がある場合のみ、そのコマンドを使用します。

注: クラスタ内の最後のノードは Remove Node コマンドを使用して削除することはできません。

ドメイン、ディレクトリ同期設定、および組み込み ID プロバイダからのコネクタコンポーネントの関連付けの解除

VMware Identity Managerクラスタからノードを削除する前に、ノードのコネクタコンポーネントがどのドメインにも参加していないこと、同期コネクタとして使用されていないこと、組み込み ID プロバイダに関連付けられていないことを確認する必要があります。

前提条件

テナント管理者、つまり VMware Identity Managerサービスのローカル管理者としてログインする必要があります。エンタープライズディレクトリから同期したドメイン管理者には必要な権限がありません。

手順

1 VMware Identity Manager コンソールにログインします。

2 [ID とアクセス管理] タブをクリックし、続いて [セットアップ] をクリックします。

[コネクタ] ページが表示されます。

3 ノードのコネクタコンポーネントが任意のディレクトリの同期コネクタとして使用されている場合は、ディレクトリの同期コネクタ設定を変更して代わりに別のコネクタを使用します。

a [コネクタ] ページの [関連付けられたディレクトリ] 列で、コネクタコンポーネントが関連付けられているディレクトリを表示します。

b ディレクトリのリンクをクリックします。


VMware, Inc. 40

c [ディレクトリ] ページの [ディレクトリの同期と認証] セクションで、[同期コネクタ] オプションの値を確認します。

d コネクタコンポーネントが同期コネクタとして使用されている場合は、[同期コネクタ] オプションで別のコネクタを選択し、[保存] をクリックします。

e コネクタコンポーネントが関連付けられているすべてのディレクトリに対して、同じ手順を繰り返します。

4 コネクタコンポーネントが組み込み ID プロバイダに関連付けられている場合は、ID プロバイダから削除します。

a [コネクタ] ページの [ID プロバイダ] 列に、コネクタコンポーネントが関連付けられている ID プロバイダを表示します。

b 組み込み ID プロバイダがリストされている場合は、リンクをクリックします。

c [ID プロバイダ] ページの [コネクタ] セクションで、コネクタの横にある削除アイコンをクリックします。

次のステップ

クラスタからノードを削除します。

クラスタからのノードの削除

ノードのコネクタコンポーネントをドメイン、ディレクトリ同期設定、および組み込み ID プロバイダから関連付け解除すると、ノードをクラスタから削除できます。

注: クラスタ内の最後のノードは Remove コマンドを使用して削除することはできません。

前提条件

n ノードを削除するには、テナント管理者、つまり VMware Identity Managerサービスのローカル管理者としてログインする必要があります。エンタープライズディレクトリから同期したドメイン管理者には必要な権限がありません。

n 必要に応じて、ノードのコネクタコンポーネントをドメイン、ディレクトリ同期設定、および組み込み ID プロバイダから関連付け解除しました。「ドメイン、ディレクトリ同期設定、および組み込み ID プロバイダからのコネクタコンポーネントの関連付けの解除」を参照してください。

手順

1 ノード仮想マシンをシャットダウンします。

a vCenter Server インスタンスにログインします。

b ノード仮想マシンを右クリックして、[電源] - [パワーオフ] を選択します。

2 ロードバランサからノードを削除します。

3 VMware Identity Manager コンソールで、ノードを削除します。

a ローカル管理者として VMware Identity Manager コンソールにログインします。

b [ダッシュボード] タブの下矢印をクリックし、[システム診断ダッシュボード] を選択します。


VMware, Inc. 41

c 削除するノードを見つけます。

ノードには次のステータスが表示されます。

現在のノードの状態が正しくありません。削除しますか?

d メッセージの横に表示される [削除] リンクをクリックします。

ノードがクラスタから削除されます。ノードのエントリは VMware Identity Managerデータベースから削除されます。ノードは、組み込まれた Elasticsearch および Ehcache クラスタからも削除されます。

次のステップ

その他のコマンドを使用する前に、組み込まれた Elasticsearch および Ehcache クラスタが安定するまで 5 ～ 15 分待機します。

Active Directory または LDAP ディレクトリ接続を設定するエンタープライズディレクトリを VMware Identity Managerと統合し、ユーザーとグループをエンタープライズディレクトリから VMware Identity Manager サービスに同期します。

以下のディレクトリのタイプがサポートされます。

n LDAP 経由の Active Directory

n Active Directory、統合 Windows 認証

n LDAP ディレクトリ。

前提条件

n 要件および制限事項については、「VMware Identity Manager とのディレクトリ統合」を参照してください。

n Active Directory または LDAP ディレクトリの情報。

n マルチフォレスト Active Directory が構成され、ドメインローカルグループに異なるフォレストのドメインのメンバが含まれる場合、VMware Identity Managerディレクトリページで使用されるバインド DN ユーザーをドメインローカルグループが存在するドメインの管理者グループに追加する必要があります。これを行わなければ、これらのメンバーはドメインローカルグループに含まれません。

注: マルチフォレスト Active Directory を使用するには、VMware Identity Managerサービスを Windowsドメインユーザーとして実行するように構成する必要があります。

n フィルタとして使用するユーザー属性のリスト、および VMware Identity Managerに追加するグループのリスト。

手順

1 設定したパスワードを使用して、[管理者] ユーザーとして VMware Identity Manager コンソールにログインします。

ローカル管理者としてログインされます。[ディレクトリ] ページが表示されます。ディレクトリを追加する前に、要件および制限事項について「VMware Identity Manager とのディレクトリ統合」を確実に参照してください。


VMware, Inc. 42

2 [ID とアクセス管理] タブをクリックします。

3 [セットアップ] - [ユーザー属性] をクリックして、ディレクトリと同期するユーザー属性を選択します。

デフォルト属性が表示され、必須の属性を選択できます。属性に必須のマークが付いている場合は、その属性を

持つユーザーのみがサービスに同期されます。別の属性を追加することもできます。

重要: ディレクトリの作成後は、必須属性にする属性を変更できません。その選択は、この時点で行う必要があります。

[ユーザー属性] ページの設定はサービスのすべてのディレクトリに適用されることに注意してください。属性に必須のマークを付ける場合は、他のディレクトリへの影響を考慮してください。属性に必須のマークが付いてい

る場合は、その属性を持たないユーザーはサービスに同期されません。

重要: XenApp リソースと VMware Identity Manager の同期を計画している場合は、[distinguishedName]を必須属性にする必要があります。


5 [ID とアクセス管理] タブをクリックします。

6 [ディレクトリ] ページで、[ディレクトリを追加] をクリックし、統合するディレクトリのタイプに基づいて[LDAP/IWA 経由の Active Directory を追加] または [LDAP ディレクトリを追加] を選択します。

また、サービスでローカルディレクトリを作成することもできます。ローカルディレクトリの使用方法については、『VMware Identity Manager 管理ガイド』を参照してください。


VMware, Inc. 43

7 Active Directory の場合は、次の手順を実行します。

a VMware Identity Managerで作成するディレクトリの名前を入力し、ディレクトリのタイプ（[LDAP 経由の Active Directory] または [Active Directory（統合 Windows 認証）] のいずれか）を選択します。

b 接続情報を入力します。


LDAP 経由の Active Directory 1 [コネクタを同期] テキストボックスで、Active Directory からVMware Identity Manager ディレクトリにユーザーとグループを同期するためのコネクタを選択します。

コネクタコンポーネントは、デフォルトでは VMware Identity Managerサービスで常に利用できます。このコネクタは、ドロップダウンメニューに表示されます。高可用性を実現するために複数の VMware Identity Managerアプライアンスを展開すると、それぞれのコネクタコンポーネントがリストに表示されます。

2 この Active Directory を使用してユーザー認証を行う場合は、[認証] テキストボックスで [はい] をクリックします。

サードパーティの ID プロバイダを使用してユーザーを認証する場合は、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] - [管理] - [ID プロバイダ] ページの順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

3 [ディレクトリ検索属性] テキストボックスで、ユーザー名を含むアカウント属性を選択します。

4 Active Directory が DNS サービスロケーションルックアップを使用する場合は、次のように選択します。

n [サービスロケーション] セクションで、[このディレクトリは DNS サービスロケーションをサポートします] チェックボックスを選択します。

n Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] テキストボックスに貼り付けます。

証明書が PEM 形式であり、「BEGIN CERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

注: Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。

5 Active Directory が DNS サービスロケーションルックアップを使用しない場合は、次のように選択します。

n [サービスロケーション] セクションで、[このディレクトリは DNS サービスロケーションをサポートします] チェックボックスが選択されていないことを確認して、Active Directory サーバのホスト名とポート番号を入力します。

グローバルカタログとしてディレクトリを構成するには、「VMware IdentityManager とのディレクトリ統合」の「Active Directory 環境」にある「マルチドメイン、シングルフォレストの Active Directory 環境」セクションを参照してください。

n Active Directory が SSL 経由のアクセスを必要とする場合は、[証明書] セクションの [このディレクトリには SSL を使用するすべての接続が必要です] チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL証明書] テキストボックスに貼り付けます。



VMware, Inc. 44


注: Active Directory が SSL を必要とする場合、証明書がなければディレクトリを作成できません。

6 [パスワードの変更を許可] セクションで、パスワードの有効期限が切れたとき、または Active Directory 管理者がユーザーのパスワードをリセットしたときにユーザーが VMware Identity Manager ログインページからパスワードをリセットできるようにするには、[パスワードの変更を有効にする] を選択します。

7 [ベース DN] テキストボックスに、アカウント検索を開始する DN を入力します。たとえば、OU=myUnit,DC=myCorp,DC=com のように入力します。

8 [バインド DN] テキストボックスに、ユーザーを検索できるアカウントを入力します。たとえば、CN=binduser,OU=myUnit,DC=myCorp,DC=com のように入力します。

注: 有効期限のないパスワードを持つバインド DN ユーザーアカウントを使用することを推奨します。

9 バインドパスワードを入力したら、[接続をテスト] をクリックして、ディレクトリが Active Directory に接続できることを確認します。

Active Directory（統合 Windows 認証） 1 [コネクタを同期] テキストボックスで、Active Directory からVMware Identity Manager ディレクトリにユーザーとグループを同期するためのコネクタを選択します。

コネクタコンポーネントは、デフォルトでは VMware Identity Managerサービスで常に利用できます。このコネクタは、ドロップダウンリストに表示されます。高可用性を実現するために複数の VMware Identity Managerアプライアンスを展開すると、それぞれのコネクタコンポーネントがリストに表示されます。

2 この Active Directory を使用してユーザー認証を行う場合は、[認証] テキストボックスで [はい] をクリックします。

サードパーティの ID プロバイダを使用してユーザーを認証する場合は、[いいえ] をクリックします。ユーザーとグループを同期するように Active Directory 接続を構成したら、[ID とアクセス管理] - [管理] - [ID プロバイダ] ページの順に移動して、認証に使用するサードパーティ ID プロバイダを追加します。

3 [ディレクトリ検索属性] テキストボックスで、ユーザー名を含むアカウント属性を選択します。

4 Active Directory が STARTTLS 暗号化を必要とする場合は、[証明書] セクションの[このディレクトリには STARTTLS を使用するすべての接続が必要です] チェックボックスを選択し、Active Directory のルート CA 証明書をコピーして [SSL 証明書] テキストボックスに貼り付けます。


ディレクトリに複数のドメインが含まれる場合は、ルート CA 証明書をすべてのドメインに 1 つずつ追加していきます。

注: Active Directory が STARTTLS を必要とする場合、証明書がなければディレクトリを作成できません。

5 [パスワードの変更を許可] セクションで、パスワードの有効期限が切れたとき、または Active Directory 管理者がユーザーのパスワードをリセットしたときにユーザーが VMware Identity Manager ログインページからパスワードをリセットできるようにするには、[パスワードの変更を有効にする] を選択します。

6 [バインドユーザー UPN] フィールドで、ドメインで認証できるユーザーの [ユーザープリンシパル名] を入力します。たとえば、[email protected] のように入力します。


VMware, Inc. 45



7 バインド DN ユーザーのパスワードを入力します。

c [保存して次へ] をクリックします。

ドメインリストのページが表示されます。


VMware, Inc. 46

8 LDAP ディレクトリの場合は、次の手順を実行します。

a 接続情報を入力します。


ディレクトリ名 VMware Identity Managerに作成しているディレクトリの名前。

ディレクトリの同期と認証 1 [コネクタを同期] テキストボックスで、LDAP ディレクトリからVMware Identity Manager ディレクトリにユーザーとグループを同期するためのコネクタを選択します。

コネクタコンポーネントは、デフォルトでは VMware Identity Managerサービスで常に利用できます。このコネクタは、ドロップダウンリストに表示されます。高可用性を実現するために複数の VMware Identity Managerアプライアンスを展開すると、それぞれのコネクタコンポーネントがリストに表示されます。

LDAP ディレクトリ用の個別のコネクタは必要ありません。コネクタは、ActiveDirectory であるか LDAP ディレクトリであるかにかかわらず複数のディレクトリをサポートすることができます。

2 この LDAP ディレクトリを使用してユーザー認証を行う場合は、[認証] テキストボックスで [はい] をクリックします。

サードパーティの ID プロバイダを使用してユーザーを認証する場合は、[いいえ] を選択します。ユーザーとグループを同期するようにディレクトリ接続を追加したら、

[ID とアクセス管理] - [管理] - [ID プロバイダ] ページの順に移動して、認証に使用するサードパーティの ID プロバイダを追加します。

3 [ディレクトリ検索属性] テキストボックスで、ユーザー名に使用する LDAP ディレクトリ属性を指定します。属性が表示されない場合は、[カスタム] を選択して、属性名を入力します。たとえば、cn にように入力します。

サーバの場所 LDAP ディレクトリサーバのホスト名とポート番号を入力します。サーバホストには、完全修飾ドメイン名または IP アドレスのいずれかを指定することができます。たとえば、myLDAPserver.example.com または 100.00.00.0 のように入力します。

ロードバランサの背後にサーバのクラスタがある場合は、代わりにロードバランサの情報を入力します。

LDAP 構成 VMware Identity Managerが LDAP ディレクトリのクエリに使用することができるLDAP 検索フィルタおよび属性を指定します。デフォルト値はコア LDAP スキーマに基づいて提供されます。

[LDAP クエリ]

n [グループの取得]：グループオブジェクトを取得するための検索フィルタ。

例：(objectClass=group)

n [バインドユーザーの取得]：バインドユーザーオブジェクト、つまりディレクトリにバインドすることができるユーザーを取得するための検索フィルタ。

例：(objectClass=person)

n [ユーザーの取得]：同期するユーザーを取得するための検索フィルタ。

例：(&(objectClass=user)(objectCategory=person))

[属性]

n [メンバーシップ]：グループのメンバーを定義するために LDAP ディレクトリで使用される属性。

例：member


VMware, Inc. 47


n [オブジェクト UUID]：ユーザーまたはグループの UUID を定義するために LDAPディレクトリで使用される属性。

例：entryUUID

n [識別名]：LDAP ディレクトリでユーザーまたはグループの識別名に使用される属性。

例：entryDN

証明書 LDAP ディレクトリが SSL 経由のアクセスを必要とする場合は、[このディレクトリにはSSL を使用するすべての接続が必要です] を選択し、LDAP ディレクトリサーバのルートCA SSL 証明書をコピーして貼り付けます。証明書が PEM 形式であり、「BEGINCERTIFICATE」と「END CERTIFICATE」の行を含んでいることを確認します。

バインドユーザーの詳細 [ベース DN]：検索を開始する DN を入力します。たとえば、cn=users,dc=example,dc=com のように入力します。

[バインド DN]：LDAP ディレクトリにバインドするために使用するユーザー名を入力します。


[バインド DN パスワード]：バインド DN ユーザーのパスワードを入力します。

b LDAP ディレクトリサーバへの接続をテストするには、[接続をテスト] をクリックします。

接続に成功しない場合は、入力した情報を確認して、適切な変更を行います。

c [保存して次へ] をクリックします。

ドメインをリストしたページが表示されます。

9 LDAP ディレクトリの場合、ドメインはリストされるが変更することはできません。

LDAP 経由の Active Directory の場合、ドメインはリストされるが変更することはできません。

[Active Directory（統合 Windows 認証）] で、この Active Directory 接続に関連付ける必要があるドメインを選択します。

注: ディレクトリが作成された後に信頼するドメインを追加する場合、サービスは新規に追加されたドメインを自動的に検出しません。サービスによるドメインの検出を有効にするには、コネクタをドメインから切り離して

から、ドメインに再度参加させる必要があります。コネクタがドメインに再度参加すると、信頼するドメインが

リストに表示されます。

[次へ] をクリックします。

10 VMware Identity Manager属性名が適切な Active Directory または LDAP 属性にマッピングされていることを確認し、必要に応じて変更します。

重要: LDAP ディレクトリを統合している場合は、[domain] 属性のマッピングを指定する必要があります。

11 [次へ] をクリックします。


VMware, Inc. 48

12 Active Directory または LDAP ディレクトリから VMware Identity Managerディレクトリに同期するグループを選択します。


グループ DN を指定グループを選択するには、1 つ以上のグループ DN を指定して、配下にあるグループを選択します。

a [+] をクリックし、グループ DN を指定します。たとえば、CN=users,DC=example,DC=company,DC=com のように入力します。

重要: 入力したベース DN の配下にあるグループ DN を指定します。グループ DN がベース DN に含まれない場合は、その DN のユーザーは、同期されますがログインすることはできません。

b [グループの検索] をクリックします。

[同期するグループ] 列には、DN に含まれるグループの数が表示されます。

c DN に含まれるすべてのグループを選択する場合は [すべてを選択] をクリックします。グループを個別に選択する場合は [選択] をクリックし、同期対象となる特定のグループを選択します。

注: LDAP ディレクトリに同じ名前のグループが複数ある場合は、VMware Identity Managerでグループに一意の名前を指定する必要があります。名前は、グループを選択しているときに変更できます。

注: グループを同期する際、Active Directory のプライマリグループである Domain Usersに属していないユーザーの同期は行われません。

ネストされたグループメンバーを同期 [ネストされたグループメンバーを同期] オプションは、デフォルトで有効になっています。このオプションが有効になっているときは、選択したグループに直接属するすべてのユーザー

と、その下にネストされたグループに属するすべてのユーザーが同期されます。ネストされ

たグループ自体は同期されないことに注意してください。同期されるのは、ネストされたグ

ループに属するユーザーのみです。VMware Identity Managerディレクトリでは、これらのユーザーは同期対象として選択した親グループのメンバーとなります。

[ネストされたグループメンバーを同期] オプションが無効になっている場合、同期するグループを指定すると、そのグループに直接属するすべてのユーザーが同期されます。その下のネ

ストされたグループに属するユーザーは同期されません。グループツリーのスキャンに多くのリソースが消費され時間がかかる大規模な Active Directory 構成では、このオプションを無効にすると、時間を短縮できます。このオプションを無効にする場合は、同期するユーザー

が属するグループをすべて選択するようにしてください。


14 必要に応じて、同期するユーザーを追加で指定します。

a [+] をクリックし、ユーザー DN を入力します。たとえば、CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com のように入力します。

重要: 入力したベース DN の配下にあるユーザー DN を指定します。ユーザー DN がベース DN に含まれない場合は、その DN のユーザーは、同期されますがログインすることはできません。

b （オプション）ユーザーを除外するには、一部のタイプのユーザーを除外するフィルタを作成します。

フィルタリングの基準となるユーザー属性、クエリルールおよび値を選択します。



VMware, Inc. 49

16 ディレクトリに同期するユーザーとグループの数や、同期のスケジュールを確認します。

ユーザーとグループや、同期の頻度に変更を加えるには、[編集] リンクをクリックします。

17 [ディレクトリを同期] をクリックして、ディレクトリ同期を開始します。

注: ネットワークエラーが発生し、逆引き DNS を使用してホスト名を一意に解決できない場合は、構成プロセスが停止します。ネットワークの問題を解決して仮想アプライアンスを再起動する必要があります。その後、展開プロセ

スを続行できます。新しいネットワーク設定は、仮想アプライアンスを再起動しないと使用できません。

次のステップ

ロードバランサや高可用性構成のセットアップの詳細については、章 4 「ロードバランサの背後への VMware IdentityManager マシンの展開」を参照してください。

組織のアプリケーションに合わせてリソースのカタログをカスタマイズし、それらのリソースへのユーザーアクセスを有効にすることができます。また、View、ThinApp、Citrix ベースのアプリケーションを含む他のリソースもセットアップできます。『VMware Identity Manager でのリソースのセットアップ』を参照してください。

障害発生時に別のインスタンスでディレクトリ同期を有効にするサービスインスタンスで障害が発生した場合、ロードバランサの構成によって、クローン作成されたインスタンスが自動的に認証を行います。一方、ディレクトリの同期の場合は、クローン作成されたインスタンスを使用するよう

に、VMware Identity Manager サービスのディレクトリ設定を変更する必要があります。ディレクトリ同期は、サービスのコネクタコンポーネントによって処理され、一度に 1 つのコネクタでのみ有効にできます。

手順


2 [ID とアクセス管理] タブをクリックし、続いて [ディレクトリ] をクリックします。

3 元のサービスインスタンスに関連付けられたディレクトリをクリックします。

この情報は、[セットアップ] - [コネクタ] ページで表示できます。ページには、クラスタ内の各サービス仮想アプライアンスのコネクタコンポーネントが表示されます。

4 ディレクトリページの [ディレクトリの同期と認証] セクションにある [コネクタを同期] フィールドで、いずれか他のコネクタを選択します。


VMware, Inc. 50

5 [バインド DN パスワード] フィールドに、Active Directory バインドアカウントのパスワードを入力します。


ホワイトリスト IP アドレスの外部ファイアウォールへの追加VMware identity Manager を外部ファイアウォールで構成する場合は、次の VMware Identity Manager サービスの IP アドレス範囲または URL をホワイトリストに追加して、そのサービスにアクセスできるようにします。

[Nslookup] コマンドまたはその他のコマンドラインツールを使用して DNS (Domain Name System) をクエリし、外部ファイアウォールホワイトリストに追加する IP アドレスを取得します。

表 5‑1.

サービス DNS (Domain Name System) 説明

VMware Identity Manager カタログ catalog.vmwareidentity.com カタログのコンテンツにアクセスできるように

するには、そのリストから URL をホワイトリストに追加します。

そのコンテンツは、パブリック IP アドレスのリストを保持している AWS CloudFront CDNでも提供されます。

http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html を参照してください。

VMware Verify api.authy.com VMware Verify が認証方法として構成されている場合は、そのリストから URL をホワイトリストに追加します。


VMware, Inc. 51

http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html



表 5‑1. (続き)

サービス DNS (Domain Name System) 説明

ハイブリッド KDC kdc.op.<vmwareidentity.xxx> ハイブリッド KDC が VMware IdentityManager のオンプレミス操作用に構成されている場合は、次のドメインのいずれかを選択し

て URL を検索します。

n vmwareidentity.ca

n vmwareidentity.com

n vmwareidentity.eu

n vmwareidentity.co.uk

n vmwareidentity.de

n vmwareidentity.com.au

n vmwareidentity.asia

VMware Identity Manager からの更新 vapp-updates.vmware.com VMware Identity Manager の更新を受信し、VMware Update Manager からパッチをダウンロードするには、そのリストから URL をホワイトリストに追加します。

インストール後のプロキシ設定の有効化

VMware Identity Manager マシンは、インターネット上のクラウドアプリケーションカタログおよびその他の Webサービスにアクセスします。HTTP プロキシを使用するインターネットアクセスをネットワーク構成で指定している場合は、VMware Identity Manager マシンでプロキシ設定を調整する必要があります。

インターネットトラフィックのみを処理するプロキシを有効にします。プロキシが正しく設定されていることを確認するために、ドメイン内の内部トラフィック用のパラメータを no-proxy に設定します。

手順

1 VMware Identity Manager コンソールにログインし、[アプライアンス設定] > [VA 構成] ページに移動します。

2 [構成の管理] をクリックし、次に [プロキシ構成] をクリックします。

3 プロキシの [有効化]。

4 [ポートが指定されたプロキシホスト] テキストボックスに、プロキシ名とポートを入力します。たとえば、proxyhost.example.com:3128 のように入力します。

5 [プロキシを経由しないホスト] テキストボックスに、プロキシサーバを経由せずにアクセスされる非プロキシホストを入力します。

ホスト名のリストを区切るにはカンマを使用します。


ライセンスキーの入力VMware Identity Manager アプライアンスを展開したら、ライセンスキーを入力します。


VMware, Inc. 52

手順


2 [アプライアンス設定] タブを選択してから、[ライセンス] をクリックします。

3 [ライセンス設定] ページで、ライセンスキーを入力して [保存] をクリックします。


VMware, Inc. 53

VMware Identity Manager 構成の管理 6VMware Identity Manager を最初に構成したら、VMware Identity Manager コンソールのページに移動して、証明書のインストール、パスワードの管理、ログファイルのダウンロードを行います。また、データベースの更新、Identity Manager の FQDN の変更、および外部 Syslog サーバの構成を行うこともできます。

構成のページは、Identity Manager コンソールの [アプライアンス設定] タブにあります。

ページ名設定の説明

データベース接続データベース接続の設定です。内部または外部のいずれかが有効です。

データベースタイプは変更できます。外部データベースを選択する場合には、外部データベース URL、ユーザー名、パスワードを入力します。外部データベースをセットアップするには、「VMware IdentityManager サービスデータベースの作成」を参照してください。

SSL 証明書のインストールこのページのタブでは、VMware Identity Manager の SSL 証明書のインストール、自己署名 VMware Identity Manager ルート証明書のダウンロード、および信頼されるルート証明書のインストールを実行し

ます。たとえば、VMware Identity Manager がロードバランサの背後で構成されている場合、ロードバランサのルート証明書をインストールできます。

注: [パススルー証明書] タブは、証明書認証が DMZ の展開シナリオの組み込みコネクタで構成されている場合のみ使用されます。詳細につい

ては、「DMZ での VMware Identity Manager の展開」を参照してください。

「SSL 証明書の使用」を参照してください。

Identity Manager FQDN このページでは、VMware Identity Manager FQDN を表示または変更できます。VMware Identity Manager FQDN は、ユーザーがサービスへのアクセスに使用する URL です。

パスワードの変更このページで VMware Identity Manager の管理者ユーザーパスワードを変更できます。

プロキシ構成（Windows 版 VMware Identity Manager） HTTPS プロキシを構成します。

VMware, Inc. 54

ページ名設定の説明

ログファイルの場所ログを zip ファイルにダウンロードできます。「ログファイル情報」を参照してください。

クラスタファイルの場所（Windows 版 VMware Identity Manager） VMware Identity Manager 構成インスタンスの暗号化ファイルを作成できます。この ENC ファイルをダウンロードして、VMware Identity Manager ノードのクラスタを作成するために使用できます。

コネクタ URL も変更できます。「コネクタ URL の変更」を参照してください。


n アプライアンスの構成設定の変更

n SSL 証明書の使用

n 外部データベース使用のための VMware Identity Manager の構成

n VMware Identity Manager サービス URL の変更

n コネクタ URL の変更

n ログファイル情報

n パスワードの管理

n SMTP 設定を構成する

アプライアンスの構成設定の変更

VMware Identity Manager を構成した後で、[アプライアンス設定] ページにアクセスして現在の構成を更新し、仮想アプライアンスのシステム情報を監視できます。

手順


2 [アプライアンス設定] タブを選択してから、[構成の管理] をクリックします。

3 サービス管理者パスワードでログインします。

4 左側のペインで、表示または編集するページを選択します。

次のステップ

設定や更新が有効になっていることを確認します。

SSL 証明書の使用VMware Identity Manager アプライアンスのインストール時に、デフォルトの SSL 証明書が自動的にインストールされます。実装環境に関する一般的なテストにこの自己署名証明書を使用できます。VMware では、本番環境でパブリック認証局 (CA) によって署名された SSL 証明書を取得してインストールすることを強くお勧めします。

CA は、証明書とその作成者の身元を保証する信頼された機関です。証明書が信頼できる CA によって署名されていれば、ユーザーは証明書の検証を要求するメッセージを受け取ることはなくなります。


VMware, Inc. 55

[アプライアンス設定] - [構成の管理] - [SSL 証明書のインストール] - [サーバ証明書] ページで、署名された CA 証明書をインストールできます。

VMware Identity Manager を自己署名の SSL 証明書を使用して展開する場合は、VMware Identity Manager サービスにアクセスするすべてのクライアントがルート CA 証明書を信頼できる CA として使用できるようにする必要があります。この場合のクライアントには、エンドユーザーのマシン、ロードバランサ、プロキシなどが含まれます。ルート CA は、[SSL 証明書のインストール] - [サーバ証明書] ページからダウンロードできます。

VMware Identity Manager サービスの SSL 証明書のインストールVMware Identity Manager サービスのインストール時に、デフォルトの SSL サーバ証明書が生成されます。この自己署名証明書は、テストに使用できます。ただし、VMwareでは、本番環境でパブリック認証局 (CA) によって署名された SSL 証明書を使用することを強くお勧めします。

注: VMware Identity Manager の前にあるロードバランサで SSL が終端する場合、SSL 証明書がロードバランサに適用されます。

前提条件

n 証明書署名要求 (CSR) を生成し、CA から有効な署名 SSL 証明書を取得します。証明書は PEM 形式である必要があります。

n サブジェクト DN の共通名部分には、ユーザーが VMware Identity Manager サービスにアクセスするために使用する完全修飾ドメイン名を使用します。VMware Identity Manager アプライアンスがロードバランサの背後にある場合、これはロードバランサのサーバ名です。

n SSL がロードバランサ上で終了しない場合、クラスタ内のノードが相互に要求を送信できるよう、サービスによって使用される SSL 証明書には VMware Identity Manager クラスタ内のそれぞれの完全修飾ドメイン名のサブジェクトの別名 (SAN) が含まれている必要があります。また、VMware Identity Manager サービスにアクセスするためにユーザーが使用する FQDN ホスト名の SAN も、共通名に使用するだけでなく、証明書に含めるようにします。理由は、一部のブラウザで必要となるためです。

手順

1 VMware Identity Manager コンソールで、[アプライアンス設定] タブをクリックします。

2 [構成の管理] をクリックし、管理者ユーザーパスワードを入力します。

3 [SSL 証明書のインストール] - [サーバ証明書] を選択します。

4 [SSL 証明書] フィールドで、[カスタム証明書] を選択します。

5 [SSL 証明書チェーン] テキストボックスに、サーバ、中間証明書、ルート証明書の順に貼り付けます。

証明書チェーン全体を正しい順序で含める必要があります。各証明書について、-----BEGIN CERTIFICATE----- と-----END CERTIFICATE---- の行を含めて、これらの行の間にあるすべての行をコピーします。

6 [プライベートキー] テキストボックスにプライベートキーを貼り付けます。----BEGIN RSA PRIVATE KEY と ---END RSA PRIVATE KEY の行の間にあるすべての行をコピーします。



VMware, Inc. 56

例：証明書の例

証明書チェーンの例

-----BEGIN CERTIFICATE-----

jlQvt9WdR9Vpg3WQT5+C3HU17bUOwvhp/r0+

...

W53+O05j5xsxzDJfWr1lqBlFF/OkIYCPcyK1

-----END CERTIFICATE-----


WdR9Vpg3WQT5+C3HU17bUOwvhp/rjlQvt90+

...

O05j5xsxzDJfWr1lqBlFF/OkIYCPW53+cyK1



dR9Vpg3WQTjlQvt9W5+C3HU17bUOwvhp/r0+

...

5j5xsxzDJfWr1lqW53+O0BlFF/OkIYCPcyK1


秘密キーの例

-----BEGIN RSA PRIVATE KEY-----

jlQvtg3WQT5+C3HU17bU9WdR9VpOwvhp/r0+

...

1lqBlFFW53+O05j5xsxzDJfWr/OkIYCPcyK1

-----END RSA PRIVATE KEY-----

信頼されるルート証明書のインストール

VMware Identity Manager サーバによって信頼されるルート証明書または中間証明書をインストールします。VMware Identity Manager サーバは、証明書チェーンにこれらの証明書のいずれかが含まれているサーバとの安全な接続を確立できます。

VMware Identity Manager サーバがロードバランサの背後で構成されていて、SSL がロードバランサで終了している場合は、ロードバランサのルート証明書をインストールします。

手順

1 VMware Identity Manager コンソールで、[アプライアンス設定] タブをクリックします。

2 [構成の管理] をクリックし、管理者ユーザーパスワードを入力します。

3 [SSL 証明書のインストール] をクリックし、[信頼される CA] タブを選択します。


VMware, Inc. 57

4 ルート証明書または中間証明書をテキストボックスに貼り付けます。

-----BEGIN CERTIFICATE----- と -----END CERTIFICATE---- の行を含めて、これらの行の間にあるすべての行を含めます。


パススルー証明書のインストール

[パススルー証明書] タブは、証明書認証が DMZ の展開シナリオの組み込みコネクタで構成されている場合のみ使用されます。その他のシナリオでは使用されません。詳細については、「DMZ での VMware Identity Manager の展開」を参照してください。

外部データベース使用のための VMware Identity Manager の構成Microsoft SQL データベースを作成した後、作成した外部データベースが VMware Identity Manager で自動的に構成されていない場合は、[アプライアンス設定] ページのデータベースを使用するように VMware Identity Managerを構成します。

前提条件

n 外部データベースサーバである Microsoft SQL Server で作成された saas スキーマを持つデータベース。VMware Identity Manager がサポートする個々のバージョンの詳細については、「VMware 製品の相互運用性マトリックス」を参照してください。

手順

1 VMware Identity Manager コンソールで、[アプライアンス設定] をクリックして [VA 構成] を選択します。

2 [構成の管理] をクリックします。

3 VMware Identity Manager 管理者パスワードでログインします。

4 [データベース接続のセットアップ] ページで、データベースタイプに [外部データベース] を選択します。


VMware, Inc. 58

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

http://www.vmware.com/resources/compatibility/sim/interop_matrix.php

5 データベース接続に関する情報を入力します。

a Microsoft SQL データベースサーバの JDBC URL を入力します。

認証モード JDBC URL 文字列


jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/<saasdb>;integratedSecurity=true;domain=<domainname>;useNTLMv2=true


jdbc:sqlserver://<hostname_or_IP_address:port#>;DatabaseName=<saasdb>

注: SQL Server Always On 機能を有効にするには、SQL で MultiSubNetFailover を True に設定します。JDBC URL 文字列は以下のとおりです。

jdbc:jtds:sqlserver://<hostname_or_IP_address:port#>/<saasdb>;integratedSecurity=true;domain=<domainname>;useNTLMv2=true;multiSubnetFailover=true

b データベースの作成時に構成したログインユーザー名とパスワードを入力します。「ローカルの SQL サーバ認証モードを使用して Microsoft SQL データベースを構成する」を参照してください。

6 [接続をテスト] をクリックして情報を検証し、保存します。

次のステップ

（オプション）db_owner データベースロールメンバーシップの権限を変更します。「データベースレベルのロールの変更」を参照してください。

VMware Identity Manager サービス URL の変更ユーザーは、サービスへのアクセスに使用する、VMware Identity Manager サービス URL を変更できます。たとえば、この URL をロードバランサ URL に変更できます。

手順


2 [アプライアンス設定] タブをクリックして、[VA 構成] を選択します。

3 [構成の管理] をクリックし、admin ユーザーのパスワードを使用してログインします。

4 [Identity Manager の FQDN] をクリックして、[Identity Manager の FQDN] フィールドに新しい URL を入力します。

https://<FQDN>:<port> の形式を使用します。ポートの指定はオプションです。デフォルトポートは 443

です。

たとえば、https://myservice.example.com と指定します。



VMware, Inc. 59

次のステップ

新しいポータルのユーザーインターフェイスを有効にします。

1 https://<VMwareIdentityManagerURL>/admin に移動して、管理コンソールにアクセスします。

2 管理コンソールで、[カタログ] タブの矢印をクリックして、[設定] を選択します。

3 左ペインで [新しいエンドユーザーポータル UI] を選択して、[新しいポータル UI を有効化] をクリックします。

コネクタ URL の変更コネクタ URL を変更するには、VMware Identity Manager コンソールで ID プロバイダのホスト名を更新します。

手順


2 [ID とアクセス管理] タブをクリックしてから、[ID プロバイダ] タブをクリックします。

3 [ID プロバイダ] ページで、更新する ID プロバイダを選択します。

4 [IdP ホスト名] フィールドで、新しいホスト名を入力します。

<hostname>:<port> の形式で指定します。ポートの指定はオプションです。デフォルトポートは 443 です。

たとえば、vidm.example.com と指定します。


ログファイル情報VMware Identity Manager ログファイルは、デバッグとトラブルシューティングに役立ちます。下記にリストしたログファイルの開始点は共通です。追加のログは logs ディレクトリにあります。

表 6‑1. ログファイル

コンポーネ

ントログファイルの場所 (Linux) ログファイルの場所 (Windows) 説明

IdentityManagerサービスログ

/opt/vmware/horizon/work

space/logs/horizon.log

<INSTALL_DIR>\opt\vmware\h

orizon\workspace\logs\hori

zon.log

資格、ユーザー、およびグループなど

の、サービスのアクティビティに関する

情報。

Configuratorログ


space/logs/configurator.

log


orizon\workspace\logs\conf

igurator.log

Configurator が REST クライアントとWeb インターフェイスから受け取る要求。

コネクタログ /opt/vmware/horizon/work

space/logs/connector.log


orizon\workspace\logs\conn

ector.log

Web インターフェイスから受信された各要求の記録。各ログエントリには要求URL、タイムスタンプ、例外が含まれています。同期アクションは記録されませ

ん。


VMware, Inc. 60

表 6‑1. ログファイル (続き)

コンポーネ

ントログファイルの場所 (Linux) ログファイルの場所 (Windows) 説明


space/logs/connector-

dir-sync.log

<InstallDirectory>\IDMConn

ector\opt\vmware\horizon\w

orkspace\logs\connector-

dir-sync.log

ディレクトリ同期に関連するメッセージ。

ApacheTomcat ログ


space/logs/catalina.log


orizon\workspace\logs\cata

lina.log

他のログファイルで記録されないメッセージの Apache Tomcat レコード。

ログ情報の収集

テストやトラブルシューティング時にログを参照することで、仮想アプライアンスのアクティビティやパフォーマン

スに関するフィードバック、および発生した問題に関する情報を確認できます。

環境内の各アプライアンスからログを収集します。

手順


2 [アプライアンス設定] タブを選択してから、[構成の管理] をクリックします。

3 [ログファイルの場所] をクリックし、[ログバンドルの準備] をクリックします。

情報は、ダウンロード可能な tar.gz ファイルに収集されます。

4 準備ができたバンドルをダウンロードします。

次のステップ

すべてのログを収集するには、各アプライアンスでこの操作を実行します。

VMware Identity Manager サービスのログレベルを DEBUG に設定ログレベルを DEBUG に設定することで、問題のデバッグに役立つ追加の情報を記録できます。

手順

1 マシンにログインします。

2 conf ディレクトリへのパスに変更します。

Linux の場合は、/usr/local/horizon/conf/ に移動します。

Windows の場合は、\usr\local\horizon\conf\ に移動します。


VMware, Inc. 61

3 ログレベルを cfg-log4j.properties、hc-log4j.properties、および saas-

log4j.properties ファイルで更新します。これらは、サービスのために最も一般的に使用される log4j

ファイルです。

a ファイルを編集します。

b ログレベルが INFO に設定された行で INFO を DEBUGに置き換えます。

たとえば、

rootLogger.level=INFO

を次のように変更します：

rootLogger.level=DEBUG

c ファイルを保存します。

サービスまたはシステムの再起動は必要ありません。

パスワードの管理

Windows 版 VMware Identity Manager を最初に構成したときに、管理者用のパスワードを作成しました。管理者用のパスワードは、Identity Manager コンソールの [アプライアンス設定] タブから変更できます。

必ず強度の高いパスワードを作成してください。強度の高いパスワードの長さは、少なくとも 8 文字であり、大文字と小文字が含まれ、少なくとも 1 つ数字および特殊文字が含まれる必要があります。

注: ログインができず、パスワードをリセットする必要がある場合は、hznSetAdminPassword.bat スクリプトを使用してパスワードをリセットすることができます。「Windows 版 VMware Identity Manager の管理ユーザーパスワードのリセット」を参照してください。

手順

1 VMware Identity Manage コンソールで、[アプライアンス設定] タブをクリックします。

2 [VA 構成] - [構成の管理] をクリックします。

3 管理者パスワードを変更するには、[パスワードの変更] を選択します。

重要: 管理者ユーザーは、6 文字以上のパスワードを使用する必要があります。

4 新しいパスワードを入力します。


Windows 版 VMware Identity Manager の管理ユーザーパスワードのリセットVMware Identity Manager サービスの管理ユーザーのパスワードは、https://<hostnameFQDN>:8443/cfg/loginのコネクタ管理ページから変更できます。ただし、ログインができず、パスワードをリセットする必要がある場合は、

hznSetAdminPassword.bat スクリプトを使用してパスワードをリセットすることができます。


VMware, Inc. 62

手順

1 Windows サーバで、コマンドプロンプトウィンドウを開きます。

2 <IDM_INSTALL_DIR>\usr\local\horizon\bin フォルダに移動します。

cd <IDM_INSTALL_DIR>\usr\local\horizon\bin

ここで IDM_INSTALL_DIR は VMware Identity Manager サービスのインストールディレクトリです。

3 次のコマンドを実行します。

hznSetAdminPassword.bat newPassword

管理者ユーザーは、6 文字以上のパスワードを使用する必要があります。

SMTP 設定を構成するSMTP サーバ設定を構成して、VMware Identity Manager サービスから E メール通知を受信します。たとえば、新しいローカルユーザーが作成されたとき、パスワードがリセットされたとき、または自動検出検証トークンが使用されたときに、E メール通知が送信されます。

手順


2 [アプライアンス設定] タブをクリックし、[SMTP] をクリックします。

3 SMTP サーバのホスト名を入力します。

例：smtp.example.com

4 SMTP サーバのポート番号を入力します。

例：25

5 （オプション）SMTP サーバで認証が必要な場合、ユーザー名とパスワードを入力します。


7 E メール通知の送信者のアドレスをカスタマイズするには、アドレスを runtime-config.properties

ファイルに追加します。

a VMware Identity Manager マシンにログインします。

b /usr/local/horizon/conf/runtime-config.properties ファイルを編集し、次のプロパ

ティを追加します。

notification.emails.support=<emailaddress>

例：

[email protected]


VMware, Inc. 63

c ファイルを保存します。

d マシンを再起動します。

<install dir>\usr\local\horizon\scripts\horizonService.bat restart

これで、送信者のアドレスがデフォルトの [email protected] からカスタムアドレスに変更されます。


VMware, Inc. 64

インストールおよび構成のトラブルシューティング 7トラブルシューティングのトピックでは、VMware Identity Manager のインストールまたは構成で発生する可能性がある問題の解決策を説明します。


n ディレクトリの同期後にグループにメンバーが表示されない

n Elasticsearch のトラブルシューティング

ディレクトリの同期後にグループにメンバーが表示されない

ディレクトリが正常に同期されましたが、同期されたグループにユーザーがまったく表示されません。

問題

ディレクトリが手動または同期スケジュールに基づいて自動で同期された後に、同期が正常に完了しますが、同期さ

れたグループにユーザーがまったく表示されません。

原因

この問題は、クラスタに 2 つ以上のノードがあり、ノード間で 5 秒以上の時刻の差がある場合に発生します。

ソリューション

1 ノード間で時刻の差がないことを確認します。クラスタ内のすべてのノードで同じ NTP サーバを使用し、時刻を同期させます。

たとえば、

https://community.spiceworks.com/how_to/5765-configure-windows-server-to-

query-an-external-ntp-server のように入力します。

2 すべてのノードでサービスを再起動します。

<install dir>\usr\local\horizon\scripts\horizonService.bat restart

3 （オプション）VMware Identity Manager コンソールで、グループを削除し、同期設定で再度追加して、ディレクトリを再同期します。

VMware, Inc. 65

Elasticsearch のトラブルシューティングこの情報を使用して、クラスタ環境の Elasticsearch の問題をトラブルシューティングします。監査、レポート、ディレクトリ同期ログに使用される検索および分析エンジンである Elasticsearch が、VMware Identity Manager 仮想アプライアンスに組み込まれています。

Elasticsearch のトラブルシューティング

Elasticsearch の健全性を確認するには、curl ツールを使用する必要があります。curl が Windows マシンにインストールされていない場合は、Linux または Mac マシンから curl http://<hostname>:

9200/_cluster/health?pretty に問い合わせることができます。外部への問い合わせにはファイアウォー

ルを有効にする必要があります。

このコマンドによって、次のような結果が返されます。

{ "cluster_name" : "horizon", "status" : "green", "timed_out" : false, "number_of_nodes" : 3, "number_of_data_nodes" : 3, "active_primary_shards" : 20, "active_shards" : 40, "relocating_shards" : 0, "initializing_shards" : 0, "unassigned_shards" : 0, "delayed_unassigned_shards" : 0, "number_of_pending_tasks" : 0, "number_of_in_flight_fetch" : 0}

Elasticsearch が正しく起動しないか、ステータスが赤色の場合は、次の手順でトラブルシューティングしてください。

1 ポート 9300 が開いていることを確認します。

a クラスタ内のすべてのノードの IP アドレスを \usr\local\horizon\scripts\updateiptables.hzn ファイルに追加し、ノードの詳細を

更新します。

ALL_IPS="node1IPadd node2IPadd node3IPadd"

b クラスタ内のすべてのノードで次のスクリプトを実行します。

\usr\local\horizon\scripts\updateiptables.hzn

2 クラスタのすべてのノードで Elasticsearch を再起動します。

3 ログで詳細を確認します。


VMware, Inc. 66

cd /opt/vmware/elasticsearch/logs

Powershell またはドキュメント監視プラグインを備えた NotePad++ のいずれかを使用してログファイルを監視できます。Powershell では、構文は Get-Conent myTestLog.log-Wait になります。


VMware, Inc. 67

VMware Identity Manager の監視 8VMware Identity Manager の監視は、Workspace ONE ソリューションの正常な動作を維持するための重要な機能です。

Nagios、Splunk、Symantec Altiris、Spotlight、Ignite、Montastic などのサードパーティツールを使用することができます。採用するソリューションをまだ決めていない場合は、監視ツールに関する具体的な推奨事項について会

社の IT 部門に問い合わせてください。

このドキュメントでは、ハードウェアロード容量に関する一般的な推奨事項と、ログファイルおよび URL エンドポイントに関する情報を提供します。監視ソリューションの構成方法についての具体的な説明は含まれません。


n ハードウェアロード容量の監視に関する推奨事項

n 監視のための VMware Identity Manager の URL エンドポイント

n システムログ

n VMware Identity Manager サービスに割り当てられているデフォルトメモリの変更

ハードウェアロード容量の監視に関する推奨事項サーバの健全性を確保するため、以下の監視基準に従います。

キャプチャするメトリック

ハードウェアモニタ

CPU 使用率

メモリ使用率

ハードディスク空き容量

ネットワーク使用率

アラートおよびしきい値

個々のユースケースを分析し、それぞれの環境に適したしきい値を決定することをお勧めします。

VMware, Inc. 68

ハードウェアアラート、サンプル、しきい値

CPU サンプル：5 分間のサンプル

しきい値：1 時間で 90%、1 時間で 95%

アラート：90% のロードは警告、95% のロードは重大

メモリサンプル：5 分間のサンプル


アラート：90% の使用率は警告、95% の使用率は重大

ハードディスクサンプル：5 分間のサンプル


アラート：90% の使用率は警告、95% の使用率は重大

ネットワークサンプル：5 分間のサンプル


アラート：90% のロードは警告、95% のロードは重大

キャプチャのための戦略

n VMware Identity Manager の Linux 仮想アプライアンス：仮想アプライアンスには、vSphere や vRealizeOperations などのツールを利用する基盤となる仮想インフラストラクチャによってメトリックが取得されます。

n Windows 上の VMware Identity Manager：Windows サーバでサポートされ、これらのメトリックをキャプチャできる監視エージェントをインストールします。さらに、仮想サーバの場合、vSphere のネイティブツールを使用して関連するメトリックを取得できます。

監視のための VMware Identity Manager の URL エンドポイントさまざまな VMware Identity Manager コンポーネントに対する URL エンドポイントの一覧を監視し、正常に機能する環境を保持します。また、特定のエンドポイントをロードバランサ用に使用し、サービスをトラフィックに対して確実に適応させることもできます。

ロードバランサの健全性チェック

コンポーネント健全性チェック予想される結果メモ

VMware Identity Manager サービス

/SAAS/API/1.0/REST/sy

stem/health/heartbeat

文字列: ok

Http: 200

30 秒ごとの頻度。

Android モバイル SSO - CertProxy：

:5262/system/health

Http: 200 30 秒ごとの頻度。

iOS モバイル SSO - KDC：

TCP half-open to port

88

接続 30 秒ごとの頻度。

VMware Identity ManagerConnector

/hc/API/1.0/REST/syst

em/health/allOk

文字列: true

Http: 200


Integration Broker /IB/API/RestServiceIm

pl.svc/ibhealthcheck

文字列: All Ok

Http: 200



VMware, Inc. 69

コンポーネント健全性チェック予想される結果メモ

XenApp 7.x の統合:

/IB/API/RestServiceIm

pl.svc/hznxenapp/admi

n/xenfarminfo?

computerName=&xenappv

ersion=Version7x

文字列: 'SiteName'

Http: 200

5 分ごとの頻度。

XenApp 6.x の統合:

/IB/API/RestServiceIm

pl.svc/hznxenapp/admi

n/xenfarminfo?

computerName=&xenappv

ersion=Version65orLat

er

文字列: 'FarmName'

Http: 200

5 分ごとの頻度。

ロードバランサの健全性チェックは、ネットワーク機器によって簡単に解析できる単純な値を返します。

監視のための追加の健全性チェック

ここにリストされている健全性チェックは、データを解析してダッシュボードを作成する機能を持つ監視ソリューショ

ンによって使用できます。頻度を 5 分ごとに設定します。

[VMware Identity Manager サービスの監視および健全性]

[URL の呼び出し：] /SAAS/jersey/manager/api/system/health

または

/SAAS/API/1.0/REST/system/health

未加工出力：

{ "AnalyticsUrl":"unknown", "ElasticsearchServiceOk":"true", "EhCacheClusterPeers":"unknown", "ElasticsearchMasterNode":"unknown", "ElasticsearchIndicesCount":"unknown", "ElasticsearchDocsCount":"unknown", "AuditPollInterval":"0", "AnalyticsConnectionOk":"true", "EncryptionServiceVerified":"unknown", "FederationBrokerStatus":"unknown", "ServiceReadOnlyMode":"false", "ElasticsearchUnassignedShards":"unknown", "AuditWorkerThreadAlive":"true", "BuildVersion":"3.3.0.0 Build xxxxxxx", "AuditQueueSize":"0", "DatabaseStatus":"unknown", "HostName":"unknown", "ElasticsearchNodesCount":"unknown", "EncryptionStatus":"unknown",


VMware, Inc. 70

"FederationBrokerOk":"true", "EncryptionConnectionOk":"true", "EncryptionServiceImpl":"unknown", "ClusterId":"22f6e089-45df-41ab-9c8a-77f3e4589230", "EhCacheClusterDiagnostics":"unknown", "ElasticsearchNodesList":"unknown", "DatabaseConnectionOk":"true", "ElasticsearchHealth":"unknown", "StatusDate":"2018-08-06 19:14:40 UTC", "ClockSyncOk":"true", "MaintenanceMode":"false", "MessagingConnectionOk":"true", "fipsModeEnabled":"true", "ServiceVersion":"3.3.0", "AuditQueueSizeThreshold":"null", "IpAddress":"unknown", "AuditDisabled":"false", "AllOk":"true"}

"AllOk" "true", "false" 健全性チェックのロールアップによって、

VMware Identity Manager サービスの全体的な健全性を監視します。

"MessagingConnectionOk" "true", "false" すべてのメッセージプロデューサとコンシューマが RabbitMQ に接続されていることを検証します。

"DatabaseConnectionOk" "true", "false" データベースへの接続を検証します。

"EncryptionConnectionOk" "true", "false" 暗号化サービスへの接続が正常で、マスター

キーストアが正常であることを確認します。

"AnalyticsConnectionOk" "true", "false" Analytics サービスへの接続を検証します

"FederationBrokerOk" "true", "false" 組み込みの認証アダプタを検証し、サブシステ

ムが正常であることを確認します。

注: 出力の "unknown" というラベルは情報が制限されていることを示します。デフォルトでは、IP アドレスやホスト名などの機密情報は非表示になります。この情報を表示する方法については、「健全性チェック API での追加情報の表示」を参照してください。

[URL の呼び出し：] /catalog-portal/services/health

この健全性チェックは、VMware Identity Manager のユーザーインターフェイスの部分に固有です。

未加工出力：

{ "status": "UP", "uiService": { "status": "UP" }, "apiService": { "status": "UP"


VMware, Inc. 71

}, "eucCacheEngine": { "status": "UP" }, "cacheEngineClient": { "status": "UP" }, "persistenceEngine": { "status": "UP", "database": "Microsoft SQL Server", "hello": 1 }, "tenantPersistenceEngine": { "status": "UP", "database": "Microsoft SQL Server", "hello": 1 }, "diskSpace": { "status": "UP", "total": 8460120064, "free": 4898279424, "threshold": 10485760 }}

"status" "UP"、"DOWN" 健全性チェックのロールアップによって、

VMware Identity Manager ユーザーインターフェイス (UI) の全体的な健全性を監視します。

"uiServer.status" "UP"、"DOWN" メインの UI サービスが実行している場合は UP

"apiService.status" "UP"、"DOWN" メインの UI API サービスが実行している場合は UP

"eucCacheEngine.status" "UP"、"DOWN" Hazelcast クラスタエンジンが実行している場合は UP

"cacheEngineClient.status" "UP"、"DOWN" UI の Hazelcast クライアントが実行している場合は UP

"persistenceEngine.status" "UP"、"DOWN" メインのデータベース (SQL) が実行している場合は UP

"tenantPersistenceEngine.status" "UP"、"DOWN" メインのデータベース (SQL) が実行している場合は UP

"diskSpace.status" "UP"、"DOWN" 空きディスク容量が構成されているしきい値

(10 MB) よりも大きい場合は UP

"diskSpace.free" バイト VMware Identity Manager UI がインストールされているパーティションの空き容量（バイ

ト単位）

[VMware Identity Manager コネクタの監視および健全性]

URL の呼び出し：/hc/API/1.0/REST/system/health


VMware, Inc. 72

未加工出力：

{ "HorizonDaaSSyncConfigurationStatus": "", "AppManagerServiceOk": "true", "DomainJoinEnabled": "false", "XenAppEnabled": "true", "ViewSyncConfigurationStatus": "", "ThinAppServiceOk": "true", "ThinAppSyncConfigurationStatus": "unknown", "Activated": "true", "XenAppServiceOk": "false", "DirectoryServiceStatus": "Connection test successful", "BuildVersion": "2017.1.1.0 Build 5077496", "ThinAppServiceStatus": "unknown", "XenAppServiceStatus": "A problem was encountered Sync Integration Broker", "HostName": "hostname.company.local", "NumberOfWarnAlerts": "0", "JoinedDomain": "true", "XenAppSyncConfigurationStatus": "Sync configured (manually)", "DirectorySyncConfigurationStatus": "Sync configured (manually)", "NumberOfErrorAlerts": "0", "DirectoryServiceOk": "true", "HorizonDaaSTenantOk": "true", "ThinAppDirectoryPath": "", "StatusDate": "2017-06-27 10:52:59 EDT", "ViewSyncEnabled": "false", "ViewServiceOk": "true", "HorizonDaaSEnabled": "false", "AppManagerUrl": "https://workspaceurl.com/SAAS/t/qwe12312qw/", "HorizonDaaSServiceStatus": "unknown", "DirectoryConnection": "ldap:///ldapcall", "ServiceVersion": "VMware-C2-2017.1.1.0 Build 5077496", "IpAddress": "169.118.86.105", "DomainJoinStatus": "Domain: customerdomainname", "AllOk": "false", "ViewServiceStatus": "unknown", "ThinAppEnabled": "false", "XenAppSyncSsoBroker": "integrationbrokersso:443 / integrationbrokersync:443"}

"AllOk" "true", "false" 健全性チェックのロールアップによって、

VMware Identity Manager コネクタサービスの全体的な健全性を監視します。

"ViewServiceOk" "true", "false" View ブローカへの接続が成功した場合はtrue。この属性は、View の同期が無効の場合は true になります。

"HorizonDaaSTenantOk" "true", "false" Horizon Cloud への接続が成功した場合はtrue。この属性は、Horizon Cloud の同期が無効の場合は true になります。


VMware, Inc. 73

"DirectoryServiceOk" "true", "false" ディレクトリへの接続が成功した場合は true。この属性は、ディレクトリの同期が無効の場合

は true になります。

"XenAppServiceOk" "true", "false" Citrix サーバへの接続が成功した場合は true。この属性は、Citrix サーバが無効の場合は trueになります。

"ThinAppServiceOk" "true", "false" ThinApp パッケージアプリケーションサービスへの接続が成功した場合は true。この属性は、パッケージアプリケーションが無効の場合は true になります。

"AppManagerServiceOk" "true", "false" AppManager に対して正しく認証できる場合は True。

"NumberOfWarnAlerts" 0 - 1000 このコネクタでトリガされた警告アラートの

数。これらはコネクタの同期ログに「メモ」と

して記録されます。VMware IdentityManager にないユーザーまたはグループを含むリソースが同期されたことを示します。構成

によっては、これは意図的に実行されることが

あります。カウンタの値は同期ごとに増加し、

警告とエラーのアラートが 1000 になると、管理者はアラートをクリアします。

"NumberOfErrorAlerts" 0 - 1000 このコネクタでトリガされたエラーアラートの数。これらはコネクタの同期ログに「エラー」

として記録されます。同期が失敗したことを示

します。カウンタの値は同期ごとに増加し、警

告とエラーのアラートが 1000 になると、管理者はアラートをクリアします。

[VMware Identity Manager Integration Broker の監視および健全性]

[URL の呼び出し：] /IB/API/RestServiceImpl.svc/ibhealthcheck

未加工出力：

“All Ok”

この健全性チェックは、Integration Broker のすべてのソフトウェアが適切に応答していることを検証します。[AllOk] の文字列が含まれる 200 の応答を返します。

[Citrix XenApp 7.x での VMware Identity Manager Integration Broker の監視および健全性]

[URL の呼び出し：] /IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?

computerName=&xenappversion=Version7x

これにより、API 呼び出しからの情報が Citrix にプルバックされます。監視により、値に一貫性があることが確認できます。


VMware, Inc. 74

未加工出力：

[{ \ “ConfigurationLoggingServiceGroupUid \ “: \ “5e2a5602 - 45a8 - 4b56 - 92e6 - 9fae5a3ff459 \ “, \ “ConfigurationServiceGroupUid \ “: \ “620d7c6e - b7c1 - 4ee7 - b192 - d00764f477e7 \ “, \ “DelegatedAdministrationServiceGroupUid \ “: \ “0a59914d - 4b6e - 4cca - bbaa - a095067092e3 \ “, \ “LicenseServerName \ “: \ “xd.hs.trcint.com \ “, \ “LicenseServerPort \ “: \ “27000 \ “, \ “LicenseServerUri \ “: \ “https: \ / \ / xd.hs.domain.com: 8083 \ / \ “, \ “LicensingBurnIn \ “: \ “2014.0815 \ “, \ “LicensingBurnInDate \ “: \ “8 \ / 14 \ / 2014 5: 00: 00 PM \ “, \ “LicensingModel \ “: \ “UserDevice \ “, \ “MetadataMap \ “: \ “System.Collections.Generic.Dictionary `2[System.String,System.String]\“, \“PrimaryZoneName\“:\“\”, \“PrimaryZoneUid\“:\“00000000-0000-0000-0000-000000000000\“, \“ProductCode\“:\“XDT\“, \“ProductEdition\“:\“PLT\“, \“ProductVersion\“:\“7.6\“, \“SiteGuid\“:\“0c074098-02d2-47cf-aa87-7e3asdsad7c\“, \“SiteName\“:\“customer\“}]

未加工出力の例外：

{“ExceptionType”:“System.Management.Automation.CmdletInvocationException”,“Message”:“An invalid URL was given for the service. The value given was ‘mit-xen751.hs.trcint.com’.\u000d\u000a The reason given was: Failed to connect to back-end server ‘mit-xen751.hs.trcint.com’ on port 80 using binding WSHttp. The server may be off-line or may not be running the appropriate service\u000d\u000a\u0009There was no endpoint listening at http:\/\/mit-xen751.hs.trcint.com\/Citrix\/ConfigurationContract\/v2 that could accept the message. This is often caused by an incorrect address or SOAP action. See InnerException, if present, for more details.\u000d\u000a\u0009The remote name could not be resolved: ‘mit-xen751.hs.trcint.com’.“,”StackTrace”:” at System.Management.Automation.Internal.PipelineProcessor.SynchronousExecuteEnumerate(Object input, Hashtable errorResults, Boolean enumerate)\u000d\u000a at System.Management.Automation.Internal.PipelineProcessor.SynchronousExecute(Array input, Hashtable errorResults)\u000d\u000a at System.Management.Automation.Runspaces.LocalPipeline.InvokeHelper()\u000d\u000a at System.Management.Automation.Runspaces.LocalPipeline.InvokeThreadProc()“}

[Citrix XenApp 6.x での VMware Identity Manager Integration Broker の監視および健全性]

[URL の呼び出し：]/IB/API/RestServiceImpl.svc/hznxenapp/admin/xenfarminfo?

computerName=&xenappversion=Version65orLater

これにより、API 呼び出しからの情報が Citrix にプルバックされます。監視により、値に一貫性があることが確認できます。


VMware, Inc. 75

未加工出力：

“[{ \ “FarmName \ “: \ “NewFarm \ “, \ “ServerVersion \ “: \ “6.5.0 \ “, \ “AdministratorType \ “: \ “Full \ “, \ “SessionCount \ “: \ “0 \ “, \ “MachineName \ “: \ “XENAPPTEST \ “ }]”

健全性チェック API での追加情報の表示

健全性チェック API https://<VIDM_FQDN>/SAAS/jersey/manager/api/system/health および

https://<VIDM_FQDN>/SAAS/API/1.0/REST/system/health の出力に IP アドレスやホスト名などの

機密情報を表示するかどうかを制御できます。デフォルトでは API 出力にこの情報は含まれません。

runtime-config.properties ファイルの service.health.check.basic プロパティによりこの設定

を制御します。プロパティが true に設定されている場合、基本情報のみが表示され、機密情報は非表示になりま

す。出力の "unknown" というラベルは情報が制限されていることを示します。例：

AnalyticsUrl: "unknown"ElasticsearchServiceOk: "true"EhCacheClusterPeers: "unknown"ElasticsearchMasterNode: "unknown"ElasticsearchIndicesCount "unknown"ElasticsearchDocsCount: "unknown"AuditPollInterval: "1000"AnalyticsConnectionOk: "true"...IpAddress: "unknown"AuditDisabled: "false"AllOk: "true"

プロパティが false に設定されている場合、利用可能なすべての情報が表示されます。例：

AnalyticsUrl: "http://198.51.100.0"ElasticsearchServiceOk: "true"EhCacheClusterPeers: ""ElasticsearchMasterNode: "198.51.100.1"ElasticsearchIndicesCount: "13"ElasticsearchDocsCount: "11173"AuditPollInterval: "1000"AnalyticsConnectionOk: "true"...IpAddress: "198.51.100.2"AuditDisabled: "false"AllOk: "true"


VMware, Inc. 76

デフォルトでは、このプロパティは true に設定されています。

注: VMware Identity Manager クラスタを設定している場合は、プロパティを変更するときにクラスタ内のすべてのノードで変更を実行します。

手順

1 VMware Identity Manager サーバにログインします。

2 install_dir\usr\local\horizon\conf\runtime-config.properties ファイルを編集し、

service.health.check.basic プロパティの値を true または false に設定します。


true 基本的な情報のみが表示されます。機密情報は非表示になり、該当の場所に "unknown" と

いうラベルが表示されます。

false 利用可能なすべての情報が表示されます。

3 ファイルを保存します。

4 サービスを再起動します。

install_dir\usr\local\horizon\scripts\horizonService.bat restart

5 VMware Identity Manager クラスタを設定してある場合、これらの変更はクラスタの各ノードで行います。

システムログVMware Identity Manager サービスおよび VMware Identity Manager コネクタコンポーネントからのログの作成には、Syslog を使用します。Integration Broker コンポーネントはローカルでログを作成します。ログは、サーバ上で、または vRealize Log Insight や Splunk などの一元化されたログ作成サービスを介して収集およびレビューすることができます。

VMware Identity Manager サービスとコネクタのログ作成

[ログの場所]

ほとんどのサービスログとコネクタログは次の場所にあります。

n VMware Identity Manager Linux の仮想アプライアンスの場合：/opt/vmware/horizon/workspace/logs/

n Windows 上の VMware Identity Manager の場合：\<Install_Dir>\VMware Identity

Manager\opt\vmware\horizon\workspace\logs

ログ目的

greenbox_web.log Web とモバイルのユーザーインターフェイス上でのすべての通信のログ

horizon.log ID アダプタ、RabbitMQ、Elasticsearch、Ehcache、およびその他のサブシステムを含む、VMware Identity Manager サービスのログ


VMware, Inc. 77

ログ目的

connector.log すべての認証方法と、Horizon および Citrix との統合のための VMwareIdentity Manager コネクタのログ

cert-proxy.log Android モバイル SSO 向けの VMware Identity Manager サービスの CertProxy コンポーネント

configurator.log Configurator が REST クライアントと Web インターフェイスから受け取る要求

catalina.log 他のログファイルで記録されないメッセージの Apache Tomcat レコード

Integration Broker のログ

Integration Broker のログは次の場所にあります。

C:\ProgramData\VMware\HorizonIntegrationBroker

ログは、毎日キャプチャされ、Integration Broker との間で実行されるすべての REST API 呼び出しが含まれます。

VMware Identity Manager サービスに割り当てられているデフォルトメモリの変更

VMware Identity Manager サービスに割り当てられるメモリの量を正確に制御するには、Windows [システムプロパティ] ページの [環境変数] ページから Tomcat に割り当てられるメモリを変更します。

VMware Identity Manager サービスがインストールされている場合、デフォルトでは、使用可能なメモリの半分にメモリが設定されています。通常、デフォルトの設定を変更する必要はありません。

手順

1 VMware Identity Manager Windows マシンで [コントロールパネル] を開き、[システムプロパティ > 詳細]タブを開きます。

2 ダイアログボックス下部の [環境変数] をクリックします。

3 [環境変数] > [ユーザー変数セクション] で、[新規] をクリックします。

4 [新しいユーザー変数] ダイアログボックスで、IDM_TOMCAT_MEM =<#>g の変数を入力します。

#g は、割り当てるメモリです。割り当てられる最小のメモリ設定は 2G で、最大値の制限はありません。

5 サービスを再起動します。バッチファイルのコマンド、horizonService.bat restart を入力します。


VMware, Inc. 78

割合の制限の設定 9VMware Identity Manager サービスと VMware Identity Manager コネクタのレート制限を設定できます。


n VMware Identity Manager サービスの割合制限の設定

n VMware Identity Manager Connector の割合制限の設定

VMware Identity Manager サービスの割合制限の設定VMware Identity Manager サービスで 1 分あたりに作成できるログイン、起動、および WS-Fed 要求の数に制限を設定できます。制限に達すると、後続の要求は拒否されます。レート制限の設定はシステムのオーバーロードを防止

するのに役立ちます。

たとえば、ログイン要求のレート制限を 100 に設定した場合、1 分あたり最初の 100 件のログイン要求が受け付けられますが、101 件目以降の要求は拒否されます。

VMware Identity Manager クラスタの場合、レート制限はクラスタ内の各ノードに適用されます。たとえば、100NodeA、NodeB、および NodeC を持つクラスタにログイン要求のレート制限を設定した場合、NodeA は 1 分あたり 100 件のログイン要求を処理し、NodeB は 1 分あたり 100 件のログイン要求を処理し、NodeC は 1 分あたり100 件のログイン要求を処理します。ノードごとに個別のログイン制限を設定することはできません。

制限に達して要求が拒否されると、エンドユーザーにはエラーメッセージ「

VMware, Inc. 79

」が表示されます。

デフォルトではレート制限は設定されていません。

レート制限は REST API を使用して設定します。VMware Identity Manager サービスへの呼び出しをする Postmanなどの REST クライアントを使用します。変更は数分後に反映されます。

割合の制限の設定

この API を使用すると VMware Identity Manager サービスのレート制限を設定できます。

[エンドポイント：]https://<ホスト名

>/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConfi

guration?tenantId=<テナント ID>

[メソッド：]PUT

[説明：]VMware Identity Manager サービスで 1 分あたりに作成できるログイン、起動、および WS-Fed 要求の最大数を設定します。

[ヘッダー：]


VMware, Inc. 80

コン

テン

ツタイプ

application/vnd.vmware.horizon.manager.system.tuning.resiliency.config

+json;charset=UTF-8

許可 application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json

認証 HZN <cookie_value>

<cookie_value> を取得するには、VMware Identity Manager サービスにテナント管理者（つまり、VMware Identity Manager

を最初にインストールしたときに作成された管理者ユーザー）としてログインし、ブラウザの cookie キャッシュから HZN cookie の値を取得します。

[パスのパラメータ：] hostname VMware Identity Manager サービスまたはロードバランサの完全修飾ドメイン名。

tenantId VMware Identity Manager サービスのテナント ID。テナント ID は VMware Identity Manager コンソールの右上隅に表示されるテナント名です。

[要求本文：]

{"config": { "rateLimitingDisabled": false, "rateLimits": { "login": { "requestsPerMinute": <n> }, "launch": { "requestsPerMinute": <n> }, "ws-fed": { "requestsPerMinute": <n> } } } }

[要求本文のパラメータ]

1 分あたりのログイン要求数

1 分あたりに許可されるログイン要求の最大数を指定します。

注: ログイン要求を完了するのに複数の API 要求が必要となること、各 API 呼び出しがレート制限までカウントされることを考慮します。たとえば、パスワード認証には 2 つの API 呼び出しが関与します。1 番目はログインページのレンダリング用、2 番目は認証情報の送信用です。

1 分あたりの起動要求数 1 分あたりに許可される起動要求の最大数を指定します。

1 分あたりの WS-Fed 要求数

1 分あたりに許可される WS-Fed 要求の最大数を指定します。WS-Fed レート制限はアクティブログイン構成のみです。

レート制限の表示

この API を使用すると VMware Identity Manager サービスに設定されているレート制限を表示できます。


VMware, Inc. 81


>/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConfi

guration?tenantId=<テナント ID>

[メソッド：]GET

[説明：]VMware Identity Manager サービスのログイン、起動、および WS-Fed 要求に現在設定されているレート制限を取得します。

[ヘッダー：] 認証 HZN <cookie_value>

<cookie_value> を取得するには、VMware Identity Manager サービスにテナント管理者（つまり、VMware Identity Manager を最初にインストールしたときに作成された管理者ユーザー）としてログインし、ブラウザの cookie キャッシュから HZN cookie の値を取得します。



[出力例：]

{"config": { "rateLimitingDisabled": false, "rateLimits": { "login": { "requestsPerMinute": 100 }, "launch": { "requestsPerMinute": 100 }, "ws-fed": { "requestsPerMinute": 100 } } } }

1 分あたりのログイン要求数 1 分あたりに許可されるログイン要求の最大数。

1 分あたりの起動要求数 1 分あたりに許可される起動要求の最大数。

1 分あたりの WS-Fed 要求数 1 分あたりに許可される WS-Fed 要求の最大数。WS-Fed レート制限はアクティブログイン構成のみです。

VMware Identity Manager Connector の割合制限の設定VMware Identity Manager サービスにレート制限を設定するのと同様、VMware Identity Manager コネクタにレート制限を設定できます。


VMware, Inc. 82

コネクタでは、1 分あたりに許可されるログイン要求の数に制限を設定できます。制限に達すると、後続の要求は拒否されます。レート制限の設定はシステムのオーバーロードを防止するのに役立ちます。

たとえば、ログイン要求のレート制限を 100 に設定した場合、1 分あたり最初の 100 件のログイン要求が受け付けられますが、101 件目以降の要求は拒否されます。

VMware Identity Manager コネクタクラスタの場合、制限はクラスタ内の各ノードに適用されます。たとえば、100 NodeA、NodeB、および NodeC を持つクラスタにログイン要求のレート制限を設定した場合、NodeA は 1分あたり 100 件のログイン要求を処理し、NodeB は 1 分あたり 100 件のログイン要求を処理し、NodeC は 1 分あたり 100 件のログイン要求を処理します。ノードごとに個別のログイン制限を設定することはできません。

制限に達して要求が拒否されると、エンドユーザーにはエラーメッセージ「

」が表示されます。

デフォルトではレート制限は設定されていません。

レート制限は REST API を使用して設定します。VMware Identity Manager サービスへの呼び出しをする Postmanなどの REST クライアントを使用します。

変更は約 1 時間後に反映されます。変更をすぐに有効にする場合はコネクタを再起動します。

Linux ベースのコネクタ仮想アプライアンスを再起動するには、仮想アプライアンスにログインして次のコマンドを実行します。

service horizon-workspace restart

Windows コネクタを再起動するには、次のスクリプトを実行します。

install_dir\usr\local\horizon\scripts\horizonService.bat restart


VMware, Inc. 83

割合の制限の設定

この API を使用すると VMware Identity Manager コネクタのレート制限を設定できます。


>/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConne

ctorConfiguration?tenantId=<テナント ID>

[メソッド：]PUT

[説明：]VMware Identity Manager コネクタで 1 分あたりに作成できるログイン要求の最大数を設定します。

[ヘッダー：] コン

テン

ツタイプ

application/vnd.vmware.horizon.manager.system.tuning.resiliency.config

+json;charset=UTF-8

許可 application/vnd.vmware.horizon.manager.system.tuning.resiliency.config+json

認証 HZN <cookie_value>





[要求本文：]

{"config": { "rateLimitingDisabled": false, "rateLimits": { "login": { "requestsPerMinute": <n> } } } }

[要求本文のパラメータ]

1 分あたりのログイン要求数

1 分あたりに許可されるログイン要求の最大数を指定します。

注: ログイン要求を完了するのに複数の API 要求が必要となること、各 API 呼び出しがレート制限までカウントされることを考慮します。たとえば、パスワード認証には 2 つの API 呼び出しが関与します。1 番目はログインページのレンダリング用、2 番目は認証情報の送信用です。


VMware, Inc. 84

レート制限の表示

この API を使用すると VMware Identity Manager コネクタに現在設定されているレート制限を表示できます。


>/SAAS/jersey/manager/api/system/tuning/resiliency/tenant/orgResiliencyConne

ctorConfiguration?tenantId=<テナント ID>

[メソッド：]GET

[説明：]VMware Identity Manager コネクタのログイン要求に現在設定されているレート制限を取得します。

[ヘッダー：] 認証 HZN cookie_value



[パスのパラメータ：] <ホスト名> VMware Identity Manager サービスまたはロードバランサの完全修飾ドメイン名。

<テナント id> VMware Identity Manager サービスのテナント ID。テナント ID は VMware Identity Manager コンソールの右上隅に表示されるテナント名です。

[出力例：]

{"config": { "rateLimitingDisabled": false, "rateLimits": { "login": { "requestsPerMinute": 100 } } } }

1 分あたりのログイン要求数 1 分あたりに許可されるログイン要求の最大数。


VMware, Inc. 85

identity manager windows 版 vmware のインス …...内容 windows 版 vmware identity manager...

Documents