HOL-1751-MBL-5-JA Table of Contents ラボ概要 - HOL-1751-MBL-5 - Horizon 7:エンドツーエンドセキュリティ ................................ 2 ラボガイダンス.......................................................................................................... 3 Control Center ブラウザ言語設定(日本語)......................................................................... 8 Firefox ブラウザ言語設定 (日本語表示) .................................................................... 9 Google Chrome ブラウザ言語設定(日本語表示) ..................................................... 14 モジュール1 - Blast Extreme (30 分) ................................................................................. 21 イントロダクション ................................................................................................. 22 レッスン: Blast Extreme用のViewプール設定と接続テスト......................................... 24 モジュール 2 - アクセスポイント (30 分) ............................................................................. 37 イントロダクション ................................................................................................. 38 Access Point デプロイのトポロジ............................................................................. 39 Access Point のデプロイと構成 ................................................................................ 42 モジュール3‐Horizon7のSSL証明書(30 分) ...................................................................... 58 Horizon7 の SSL 証明書 - モジュールの説明 .............................................................. 59 Horizon7 の SSL 証明書の概要 ................................................................................. 60 Horizon Connection Server に対する SSL のセットアップ ........................................ 61 Horizon 5.1 以降での SSL 証明書のセキュリティの強化 ............................................. 62 Microsoft CA からの署名証明書を要求する ................................................................ 70 Horizon Administrator コンソールで署名された証明書が有用か確認 ........................... 95 Horizon Security Server – Microsoft CA で署名された証明書の要求 .......................... 98 モジュール 4 - Identity Manager (30 分) ......................................................................... 132 イントロダクション ............................................................................................... 133 Identity Manager セキュリティ ............................................................................. 135 Identity Manager ユーザー (Workspace ONE) ポータル ......................................... 153 HOL-1751-MBL-5-JA Page 1 HOL-1751-MBL-5-JA ラボ概要 - HOL-1751-MBL-5 - Horizon 7:エンドツーエンド エンドツーエンド セキュリティ HOL-1751-MBL-5-JA Page 2 HOL-1751-MBL-5-JA ラボガイダンス 注:このラボを完了するのに約120分かかります。各モジュールには依存性がないため、どのモジ ュールもモジュールの先頭から始めることができます。また、目次から選んだモジュールに飛ぶこ ともできます。目次はラボマニュアルのi右上にあります。 Blast ExtremeはH.264を拡張したHorizon用のVMwareの最新のディスプレイプロトコルです。 アクセスポイントはvIDMおよびHoriozon View向けのセキュリティサーバに対してリバースプロ キシ機能を提供します。 Horizonは複数のコンポーネント間およびユーザデバイスのセキュアな通信を確保するためにSSL 証明書を使います。 Identity ManagerはSSOの機能およびアプリケーションやデスクトップへの安全なアクセスをユー ザに提供するのに加え、ユーザが必要に応じてアプリケーションやサービスを選択し、有効にする セルフサービス機能を提供します。 ラボモジュールリスト: • モジュール モジュール1 - Blast Extreme (30分) (基礎) Horizon管理コンソールに入り、プールに 対しBlast Extremeを有効にすることでBlast Extremeを使った接続が利用できます。 • モジュール 2 - アクセスポイント (30分) (基礎) アクセスポイントの設定をすることでPod に展開され、アクセスポイントを利用した有効なHorizonデスクトップへの接続を確立す る。 • モジュール 3 - Horizon 7 SSL証明書 (30分) (アドバンス) 新規証明書リクエストを作 成、新規証明書をコネクションブローカーに展開し、適切な設定を有効化します。 • モジュール 4 - Identity Manager (30分) (アドバンス) 管理者としてIdentity Manager のオプションを設定します。最後にユーザとして複数のアプリケーションを有効化し、展開 します。 ラボキャプテン ラボキャプテン: • • • • • Brent McCoubrey, Staff Solutions Architect, Canada Jack McMichael, Specialist Systems Engineer, United States Peter Schraml, Senior Solutions Architect, Great Britain Laurel Spadaro, Senior Systems Engineer, United States Trevor Davis, Senior Systems Engineer, United States このラボのマニュアルは下記のハンズオンラボドキュメントサイトからダウンロードすることがで きます: http://docs.hol.vmware.com このラボは他の言語でも利用できます。言語設定を変更することでローカライズされたマニュアル が展開されます。実行にあたり助けになる下記ドキュメントをご利用ください: HOL-1751-MBL-5-JA Page 3 HOL-1751-MBL-5-JA http://docs.hol.vmware.com/announcements/nee-default-language.pdf Location of the Main Console 1. The area in the RED box contains the Main Console. The Lab Manual is on the tab to the Right of the Main Console. 2. A particular lab may have additional consoles found on separate tabs in the upper left. You will be directed to open another specific console if needed. 3. Your lab starts with 90 minutes on the timer. The lab can not be saved. All your work must be done during the lab session. But you can click the EXTEND to increase your time. If you are at a VMware event, you can extend your lab time twice, for up to 30 minutes. Each click gives you an additional 15 minutes. Outside of VMware events, you can extend your lab time up to 9 hours and 30 minutes. Each click gives you an additional hour. Alternate Methods of Keyboard Data Entry During this module, you will input text into the Main Console. Besides directly typing it in, there are two very helpful methods of entering data which make it easier to enter complex data. HOL-1751-MBL-5-JA Page 4 HOL-1751-MBL-5-JA Click and Drag Lab Manual Content Into Console Active Window You can also click and drag text and Command Line Interface (CLI) commands directly from the Lab Manual into the active window in the Main Console. Accessing the Online International Keyboard You can also use the Online International Keyboard found in the Main Console. 1. Click on the Keyboard Icon found on the Windows Quick Launch Task Bar. HOL-1751-MBL-5-JA Page 5 HOL-1751-MBL-5-JA Click once in active console window In this example, you will use the Online Keyboard to enter the "@" sign used in email addresses. The "@" sign is Shift-2 on US keyboard layouts. 1. Click once in the active console window. 2. Click on the Shift key. Click on the @ key 1. Click on the "@" key. Notice the @ sign entered in the active console window. Activation Prompt or Watermark When you first start your lab, you may notice a watermark on the desktop indicating that Windows is not activated. HOL-1751-MBL-5-JA Page 6 HOL-1751-MBL-5-JA One of the major benefits of virtualization is that virtual machines can be moved and run on any platform. The Hands-on Labs utilizes this benefit and we are able to run the labs out of multiple datacenters. However, these datacenters may not have identical processors, which triggers a Microsoft activation check through the Internet. Rest assured, VMware and the Hands-on Labs are in full compliance with Microsoft licensing requirements. The lab that you are using is a self-contained pod and does not have full access to the Internet, which is required for Windows to verify the activation. Without full access to the Internet, this automated process fails and you see this watermark. This cosmetic issue has no effect on your lab. Look at the lower right portion of the screen Please check to see that your lab is finished all the startup routines and is ready for you to start. If you see anything other than "Ready", please wait a few minutes. If after 5 minutes your lab has not changed to "Ready", please ask for assistance. HOL-1751-MBL-5-JA Page 7 HOL-1751-MBL-5-JA Control Center ブラウザ言語 設定 設定(日本語 日本語) HOL-1751-MBL-5-JA Page 8 HOL-1751-MBL-5-JA Firefox ブラウザ言語設定 (日本語表示 日本語表示) vSphere Web Clientはブラウザベースです。日本語表示するためには、ブラウザの言語設定を日 本語に設定します。 なお なお、vSphere Web Client 以外の一部ツールでは英語表記となります 以外の一部ツールでは英語表記となります。これはハンズオンラボ これはハンズオンラボ 環境特有のものです 環境特有のものです。 Firefoxの起動 の起動 Firefoxアイコンをクリックし、 起動します。 HOL-1751-MBL-5-JA Page 9 HOL-1751-MBL-5-JA Firefoxブラウザの日本語化 ブラウザの日本語化 1. ウィンドウ右上のメニューを開きます。 2. [Options] をクリックします。 HOL-1751-MBL-5-JA Page 10 HOL-1751-MBL-5-JA Firefoxブラウザの日本語化 ブラウザの日本語化 左側メニューから [Content] を選択します。 Firefoxブラウザの日本語化 ブラウザの日本語化 [Languages] の [Choose...] をクリックします。 HOL-1751-MBL-5-JA Page 11 HOL-1751-MBL-5-JA Firefoxブラウザの日本語化 ブラウザの日本語化 [Select a language to add...] をクリックします。 HOL-1751-MBL-5-JA Page 12 HOL-1751-MBL-5-JA Firefoxブラウザの日本語化 ブラウザの日本語化 1. プルダウンから [Japanese [ja] ] を選択します。 2. [Add] をクリックします。 3. [OK] をクリックします。 4. Firefox を再起動します。 HOL-1751-MBL-5-JA Page 13 HOL-1751-MBL-5-JA Google Chrome ブラウザ言語設定 ブラウザ言語設定(日本語表 日本語表 示) vSphere Web Client はブラウザベースです。日本語表示にする為には、ブラウザの言語設定を日 本語に設定します。 なお なお、vSphere Web Client 以外の一部ツールでは英語表記となります 以外の一部ツールでは英語表記となります。これはハンズオンラボ これはハンズオンラボ 環境特有のものです 環境特有のものです。 Google Chrome の起動 Google Chrome を起動します。 Google Chrome のメニューを開く ブラウザウィンドウ右上のメニューを開きます。 HOL-1751-MBL-5-JA Page 14 HOL-1751-MBL-5-JA Google Chrome の設定画面を開く [Settings] をクリックします。 HOL-1751-MBL-5-JA Page 15 HOL-1751-MBL-5-JA Google Chrome の詳細設定を表示 1. 画面を下へスクロールします。 2. [Show advanced settings...] をクリックします。 HOL-1751-MBL-5-JA Page 16 HOL-1751-MBL-5-JA Google Chrome の言語と入力の設定 画面を下へスクロールし、[Language and input setting...] をクリックします。 HOL-1751-MBL-5-JA Page 17 HOL-1751-MBL-5-JA Google Chrome の言語と入力の設定 [Add] をクリックします。 HOL-1751-MBL-5-JA Page 18 HOL-1751-MBL-5-JA Google Chrome の言語と入力の設定 1. プルダウンから [Japanese - 日本語] を選択します。 2. [OK] をクリックします。 HOL-1751-MBL-5-JA Page 19 HOL-1751-MBL-5-JA Google Chrome の言語と入力の設定 1. 左側 [Languages] 内の [Japanese] を一番上までドラッグで移動させます。 2. [Done] をクリックします。 3. Google Chrome ブラウザを再起動します。 HOL-1751-MBL-5-JA Page 20 HOL-1751-MBL-5-JA モジュール モジュール1 - Blast Extreme (30 分) HOL-1751-MBL-5-JA Page 21 HOL-1751-MBL-5-JA イントロダクション デジタルワークスペースの構築と最適化を目的として、VMwareは新しいBlast Extremeディスプ レイテクノロジにより、さらなる選択肢と柔軟性をお客様に提供します。Blast Extremeは業界標 準のH.264プロトコルから作られており、H.264が利用できる多くの既存クライアントデバイスを 幅広くサポートしています。お客様はクライアントデバイスやユースケースに応じてBlast Extreme, PCoIP, RDPを選ぶことができます。Blast ExtremeはPCoIPに対してもデバイスサポー トに加え、固有のアドバンテージがあります。TCPおよびUDPネットワークの両方で有効です。ま た、CPU消費が低く、デバイスのバッテリが長持ちします。これに加え、NVIDIA GRIDなどホスト 上のGPUベースのハードウェアアクセラレーションと組み合わせることで、非常に視覚的なビジュ アルアプリケーションに対してグラフィックパフォーマンスを発揮するソリューションを提供しま す。 VMware Blast Extreme機能 機能 VMware Blast Extremeの主要機能は下記となります: - 企業ファイアーウォールの外にいるユーザは企業のVPN上でこのプロトコルを使い、企業DMZ上 のセキュリティサーバやアクセスポイントアプライアンスへの暗号化された通信で安全性を確保で きます。 - AES 128-bit暗号化をデフォルトでサポートしています。また、AES-192やAES-256に変更する こともできます。 - 全てのタイプのクライアントデバイスから接続 - LANおよびWANのネットワーク利用帯域削減のために最適化 - 仮想ディスプレイで32-bitカラーをサポート - ClearTypeフォントをサポート - LANおよびWANに対するダイナミック音質調整付きオーディオリダイレクション - Webカメラやマイク利用のためのリアルタイムAudio-Video - クライアントOSとリモートアプリケーション間でのテキストやイメージ(一部のクライアント) のコピー&ペーストのサポート。その他のクライアントはプレーンテキストのコピー&ペーストの みサポート。フォルダーやファイルなどのシステムオブジェクトはコピー&ペーストできない - いくつかのクライアントタイプでマルチモニタをサポート。一部で2560 x 1600レゾリューショ ンの4モニターまたは4K(3840 x 2160)の3モニターをサポート(Windows7リモートデスクトップ でAero無効の場合)。画面回転と自動フィットをサポート 3D機能が有効な場合、1920 x 1200レゾリューションの2モニターもしくは4K(3840 x 2160)の1 モニターをサポート HOL-1751-MBL-5-JA Page 22 HOL-1751-MBL-5-JA - いくつかのクライアントタイプでUSBリダイレクションをサポート - いくつかのWindowsクライアントOSとリモートデスクトップOS(Horizon Agent インストール 済み)でMMRリダイレクションをサポート VMware Blast Extreme機能に関するクライアントデバイスサポートについての情報は下記を参照 https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html. このモジュールは以下のレッスンが含まれています: • レッスン1 - Blast Extreme向けViewプール設定 • レッスン:Blast Extreme用のViewプール設定と接続テスト HOL-1751-MBL-5-JA Page 23 HOL-1751-MBL-5-JA レッスン レッスン: Blast Extreme用の 用のViewプール設 プール設 定と接続テスト このレッスンのねらい 1. Viewプールを設定し、ディスプレイプロトコルとしてVMware Blast Extremeを有効化する 2. ディスプレイプロトコルとしてVMware Blast Extremeを選択し、Horizon Viewクライアント 使用する 3. プロトコル選択を確認し、VMware Blast Extremeを使って仮想デスクトップに接続する Google Chromeの起動 の起動 メインコンソールのデスクトップからGoogle Chromeをダブルクリックする Horizon 7 Administrator の起動 Google Chromeのショートカットバーから 1. Horizon 7 フォルダをクリック 2. Horizon 7 Administrator – Aをクリック HOL-1751-MBL-5-JA Page 24 HOL-1751-MBL-5-JA プライバシーに関する注意 ブローカーはデフォルトの自己署名証明書を使っているため、Google Chromeではプライバシー ワーニングメッセージが表示されます。ワーニングメッセージが出ない場合は次のステップに進ん でください。 1. Advanced をクリック 2. Proceed to h7cs-01a.corp.local をクリック HOL-1751-MBL-5-JA Page 25 HOL-1751-MBL-5-JA Horizon 7 管理コンソールにログイン 下記のログイン情報を使ってHorizon 7 管理コンソールにログインします。 1. 2. 3. 4. ユーザ名: administrator パスワード: VMware1! ドメイン: CORP ログイン をクリック HOL-1751-MBL-5-JA Page 26 HOL-1751-MBL-5-JA デスクトッププール インベントリ欄の 1. カタログ を展開する 2. デスクトップ プール を選択する Win10x64 デスクトッププールを編集する 1. win10x64 プールを選択する 2. 編集… をクリックする HOL-1751-MBL-5-JA Page 27 HOL-1751-MBL-5-JA デスクトッププール設定 1. デスクトップ プールの設定 タブを選択する 2. リモート表示プロトコル 欄でPCoIPがデフォルトプロトコルとして選択されていることを確 認する。ここでは管理者はユーザに利用させたいプロトコルを選択することができる。 3. 選択矢印をクリックすると利用可能なプロトコルのリストが表示される。 VMware Blast が表示されるのを確認し、選択する。これによりこのプールのデフォルトプロトコルが PCoIPからVMware Blastとなる。 この後のレッスンでデスクトップ接続プロトコルとし て、どのプロトコルを選択したかを確認します。 4. キャンセル をクリックする HOL-1751-MBL-5-JA Page 28 HOL-1751-MBL-5-JA Google Chrome を最小化する 1. Google Chrome を最小化します VMware Horizonクライアントの起動 クライアントの起動 メインコンソールのデスクトップから VMware Horizon Client ショートカットをダブルクリック する h7cs-01a.corp.localを選択 を選択 h7cs-01a.corp.local をダブルクリックする VMware Horizon環境にログイン 環境にログイン cso でログインする 1. User name: cso 2. Password: VMware1! 3. Domain: CORP HOL-1751-MBL-5-JA Page 29 HOL-1751-MBL-5-JA 4. Loginをクリックする HOL-1751-MBL-5-JA Page 30 HOL-1751-MBL-5-JA ディスプレイプロトコルの選択 この時点でユーザが利用したいディスプレイプロトコルを選択できます。これは、対象のプールに 対してプール設定で許可しているためです。以下、ディスプレイプロトコルを選択します。 1. Windows 10x64 Desktop プールを右クリック 2. 選択できるオプションが表示されます。PCoIPがデフォルトに設定されていることを確認し ます(前のステップでViewプールに設定したようになっている) 3. VMware Blast を選択する HOL-1751-MBL-5-JA Page 31 HOL-1751-MBL-5-JA VMware Blastを使ってデスクトップに接続 を使ってデスクトップに接続 VMware Blastをディスプレイプロトコルとして選択しました。続けてデスクトップに接続しま す。 1. Windows 10x64 Desktop を再度右クリックする 2. 現在 VMware Blast がプロトコルとして選択されていることを確認する 3. Launch をクリック HOL-1751-MBL-5-JA Page 32 HOL-1751-MBL-5-JA VMware Blastを使用したデスクトップ接続 を使用したデスクトップ接続 今、VMware Blast Extremeを使ってWindows 10デスクトップに接続しました。前にも説明しま したが、VMware Blast ExtremeはPCoIPと機能的に同等で、TCPやUDP通信の両方で使えるなど の追加の利点を持っています。 1. デスクトップ接続を最小化します View管理コンソールの最大化 管理コンソールの最大化 メインコンソールのタスクバーから、View Administrator のコンソールを最大化します。 HOL-1751-MBL-5-JA Page 33 HOL-1751-MBL-5-JA Horizon Administrator コンソールデータのリフレッシュ Horizon 管理コンソールの更新ボタンをクリック 有効なセッション セッションに表示されている数字の 1 をクリック HOL-1751-MBL-5-JA Page 34 HOL-1751-MBL-5-JA セッション情報 セッション情報のページには、セッションに関する情報が表示されます。ここで、VMware Blast Extreme (BLAST) が使用されている事に注目してください。 1. コンソールからログアウトします。 Windows 10 x64 デスクトップセッションの最大化 Windows 10x64 Desktop タブをクリックして、デスクトップセッションを最大化してくださ い。 HOL-1751-MBL-5-JA Page 35 HOL-1751-MBL-5-JA デスクトップセッションからログオフ Horizon View ツールバー 1. Options を展開 2. Disconnect and Log Off を選択 3. OK をクリック 結論 デスクトッププールにある仮想デスクトップの表示プロトコルとして VMware Blast Extreme を 使用する設定が完了しました。これで仮想デスクトップは VMware Blast Extreme を使用して利 用できるようになります。 HOL-1751-MBL-5-JA Page 36 HOL-1751-MBL-5-JA モジュール 2 - アクセスポイン ト (30 分) HOL-1751-MBL-5-JA Page 37 HOL-1751-MBL-5-JA イントロダクション Access Point は、利用権限のあるユーザがインターネット経由で接続するVMware エンド・ユー ザー・コンピューティング・リソースに安全な遠隔アクセスを実現にするように設計された仮想ア プライアンスです。Access Point は クラウドベースの Horizon Air かユーザのデータセンターに 設置された VMware Horizon オンプレミス環境のどちらかにあるアプリケーションやデスクトッ プとの安全な接続性を提供します。Access Point は、View Security Server と同等の機能を提供 します。 Access Point 仮想アプライアンスは、DMZ にデプロイされ、利用権限のあるユーザがアプリケー ションやデスクトップにアクセスするために、データセンタ内に入るトラフィックを保証します。 また、Access Point 仮想アプライアンスは利用権限のあるユーザのためのトラフィックを、その利 用資格のあるデスクトップやアプリケーションリソースにのみ、直接通信させることを保証しま す。この保護レベルは、特定のデスクトッププロトコルの検査とポリシーの変化やネットワーク・ アドレスと連携し、正確にアクセス制御することが可能です。 View Security サーバとの大きな違いは, 様々な利用用途がある Windows OS 上で動くのではな く、Access Point は堅牢でロックダウンされた事前設定済みの Linux ベースの仮想マシン上に実 装されています。Access Point は、スケーラブルで、View Connection サーバと View Security サーバをペアで使うという制限はありません。ユーザは、Access Point を経由して一つの View Connection サーバに接続することや、ロードバランサを設置し、その後ろに複数の View Connection サーバを構成することで可用性を高めることができます。また Access Point は、 Horizon Client とバックエンドにある View Connection サーバ間を仲裁する働きもします。そし て Access Point は、スケールアップやスケールダウンが可能で、迅速にデプロイすることが可能 なので、急速に変化する企業の要求に応えることができるようになっています。 HOL-1751-MBL-5-JA Page 38 HOL-1751-MBL-5-JA Access Point デプロイのトポロジ Access Point は複数のトポロジにデプロイすることができます。DMZ にある Access Point アプ ライアンスは VMware Horizon サーバーや VMware Horizon サーバ群の前に設置されたロードバ ランサに対して構成されます。Access Point アプライアンスは標準的な HTTPS 対応のサードパー ティロードバランサー製品群と協調して動作します。また、Access Point は複数のネットワークイ ンタフェース (NIC) でトラフィックを切り離すように構成することもできます。 外部、内部、及び管理トラフィックの全ては、別々のサブネットに接続された、それぞれ個別の NIC を持ちます。Access Point は VMware Identity Manager のリバースプロキシとしても機能 します。 HOL-1751-MBL-5-JA Page 39 HOL-1751-MBL-5-JA Access Point アプライアンスとロードバランサー Access Point アプライアンスが VMware Horizon サーバーの前にあるロードバランサーと接続さ れる場合、VMware Horizon サーバーインスタンスの選択は動的に行われます。例えば、ロードバ ランサーは各 VMware Horizon サーバインスタンスが処理しているセッション数と有効性を考慮 し、どのサーバーに接続するかを選択します。ユーザーは内部ネットワーク上にある VMware Horizon ブローカー向けのロードバランストラフィックを処理するのと同じロードバランサーに接 続されている Access Point を利用する事ができます。 Access Point アプライアンスに直接接続された VMware Horizon Connection ブローカー ユーザーは、個別の VMware Horizon Connection ブローカに接続された Access Point アプライ アンスも持つ事ができます。Access Point アプライアンスを使用すれば、外部接続のために必要と HOL-1751-MBL-5-JA Page 40 HOL-1751-MBL-5-JA なるペアや個別のブローカは不要です。Access Point は VMware Horizon Connection ブローカ ーと通信するために HTTPS を使用します。Security サーバーの時のように JMS、IPsec や AJP13 は必要ありません。 HOL-1751-MBL-5-JA Page 41 HOL-1751-MBL-5-JA Access Point のデプロイと構成 Access Point は Deploy OVF テンプレートウィザードを使ってデプロイすることができます。管 理者はデプロイ作業のために vCenter にログインする必要があります。また vCenter にログイン しなくてもコマンドラインの VMware OVF Tool を使ってアプライアンスをデプロイすることもで きます。このツールを使うことで、管理者はデプロイウィザードにはない高度なプロパティを設定 することができます。Access Point がデプロイされる時、それらの後ろにある VMware Connection サーバインスタンスが適切に構成されている必要があります。 Access Point アプライアンスをデプロイした後に構成の変更や追加をする場合は、管理者は Access Point REST API を使用するか、異なった設定で再度アプライアンスをデプロイすることが できます。Access Point REST API の仕様は、下記 URL から参照することができます: https://access-point-appliance.example.com:9443/rest/swagger.yaml Access Point の構成のレビュー メインコンソールデスクトップにある Google Chrome をダブルクリック HOL-1751-MBL-5-JA Page 42 HOL-1751-MBL-5-JA vCenter へのログイン 1. RegionA vCenter をクリック 2. Windows セッション認証を使用してください を選択 3. ログイン をクリック HOL-1751-MBL-5-JA Page 43 HOL-1751-MBL-5-JA ホストおよびクラスタ ホストおよびクラスタ をクリック HOL-1751-MBL-5-JA Page 44 HOL-1751-MBL-5-JA AP-01a の選択 RegionA10 データセンタと RegionA01-COMP01 クラスタを展開 1. AP-01a を右クリック 2. 設定の編集… を選択 HOL-1751-MBL-5-JA Page 45 HOL-1751-MBL-5-JA vApp オプション 1. vApp オプション を選択 多くの設定項目が確認できるはずです。 2. 矢印をクリックし、Horizon Properties ページを展開 Horizon Properties 多くの設定項目がありますが、これらの設定項目は Access Point のインストール時に設定されま す。これらの多くの設定項目は Security サーバで使われていたものと似ています。一つ異なる点 HOL-1751-MBL-5-JA Page 46 HOL-1751-MBL-5-JA は Blast ゲートウェイに関するものです。このゲートウェイは現在 443 番ポートで待機してい て、Security Server で使われていた 8443 は使用されません。 1. キャンセル をクリックし次に進む 新規タブ Google Chrome の新規タブをオープン HOL-1751-MBL-5-JA Page 47 HOL-1751-MBL-5-JA Horizon View 管理コンソールの起動 新規タブの 1. Horizon 7 フォルダを選択 2. Horizon 7 Administrator –A リンクをクリック HOL-1751-MBL-5-JA Page 48 HOL-1751-MBL-5-JA Horizon View 管理コンソールへのログイン 下記の情報を使い Horizon 7 管理コンソールにログイン 1. 2. 3. 4. ユーザー名: administrator パスワード: VMware1! ドメイン:CORP ログイン をクリック HOL-1751-MBL-5-JA Page 49 HOL-1751-MBL-5-JA コネクションサーバーの構成 Horizon 7 管理コンソールにログインした状態 1. 矢印をクリックして View 構成 を展開 2. サーバ をクリック 3. 接続サーバ タブを選択 4. 接続サーバのリストから H7CS-01A を選択 5. 編集… をクリック HOL-1751-MBL-5-JA Page 50 HOL-1751-MBL-5-JA 接続サーバの構成 Access Point を使用する場合は、Access Point は PCoIP と Blast ゲートウェイのための全ての 設定を含みます。よって、Connection ブローカのチェックボックスにチェックが入っていた場 合、それら全てを外す必要があります。 1. キャンセル をクリックして次に進む HOL-1751-MBL-5-JA Page 51 HOL-1751-MBL-5-JA Google Chrome の最小化 1. Google Chrome を最小化 VMware Horizon Client の起動 メインコンソールデスクトップにある VMware Horizon Client をダブルクリック ap-01a.corp.local の選択 ap-01a.corp.local をダブルクリック VMware Horizon Client へのログイン 次の認証情報を使用してログインします。 1. 2. 3. 4. User name: cso Password: VMware1! ドメイン: CORP [ログイン] をクリックします。 HOL-1751-MBL-5-JA Page 52 HOL-1751-MBL-5-JA 注:もしログイン画面が表示されない場合は、Access Pointの仮想アプライアンスの(数ステップ 前の)再起動処理が完了していない可能性があります。もし表示されない場合は、数分お待ちの 上、再度お試しください。 Windows 10 x64 Desktop セッションを起動 Windows 10 x64 Desktop をダブルクリックしてセッションを開始します HOL-1751-MBL-5-JA Page 53 HOL-1751-MBL-5-JA Access Pointへの接続を検証 への接続を検証 1. スタートメニューを右クリックします。 2. [Run]を選択します。 3. 「cmd」を入力します。 4. [OK]をクリックします。 HOL-1751-MBL-5-JA Page 54 HOL-1751-MBL-5-JA HOL-1751-MBL-5-JA Page 55 HOL-1751-MBL-5-JA 設定情報を表示 DOSプロンプトにて、「set」 を入力し <Enter> キーを押します。 View Client の設定情報を確認する 1. View Client の設定情報のリストをスクロールアップします。 2. Access Point を通して接続する Windows 10 x64 へアクセスしている以下のエントリを 確認します。 ViewClient_Broker_GatewayLocation=External ViewClient_Broker_GatewayType=AP HOL-1751-MBL-5-JA Page 56 HOL-1751-MBL-5-JA Windows 10 x64 デスクトップ セッションからログオフ VMware Horizon Clientのツールバーから以下の通り行います。 1. [Option] をクリックします。 2. [Disconnect and Log Off] を選択します。 3. [OK] をクリックします。 HOL-1751-MBL-5-JA Page 57 HOL-1751-MBL-5-JA モジュール モジュール3‐Horizon7の のSSL 証明書 証明書(30 分) HOL-1751-MBL-5-JA Page 58 HOL-1751-MBL-5-JA Horizon7 の SSL 証明書 - モジュールの説明 このモジュールでは、 VMware Horizon 7 が SSL 証明をいかに利用するか、またどのようにして 必要な証明書を作成し、サインし、インストールするかを学びます。 モジュールの長さ 本モジュール完了までの目安は30分です。 HOL-1751-MBL-5-JA Page 59 HOL-1751-MBL-5-JA Horizon7 の SSL 証明書の概要 VMware Horizonでは、Horizon コンポーネント間の全ての通信チャネルはSSL 認証メカニズムを 用いて安全に保護されています。Horizon 5.1 に始まり、アップグレードもしくは新規インストー ルを経て、以前のバージョンよりもSSL 証明書に関して、よりセキュリティ性が高くなっているこ とがわかることでしょう。環境に Horizon サーバをインストールした時点で、各サーバにはデフォ ルトの自己署名証明書が含まれています。自己署名証明書は、証明書機関ではなくサーバ自体によ り発行されています。サーバはその証明書で識別および検証するため、結果的に信頼できない証明 書になります。信頼されないサーバ証明書には、クライアントとサーバの間でトラフィックが傍受 されるリスクがあるため、自己署名証明書はセキュリティのレベルが非常に低くなります。認証さ れていないサーバがトランザクションの内部に入り、組織内のサーバと同じ IP アドレスに応答した 場合、管理者側には、自己署名証明書から生成されるオリジナルの警告以外の追加の警告は受信さ れません。 自己署名証明書はテスト環境用として許容されますが、本番環境用としてはセキュリティが十分で はありません。 VMware Horizon では、証明書が証明書機関により署名されていない場合にユーザーと管理者に警 告することで、デフォルトの自己署名証明書を簡単には使用できないようにしています。セキュリ ティで保護された本番環境を実現するには、証明書機関 (CA) により署名されている SSL 証明書 をインストールする必要があります。CA により署名されている SSL 証明書は、改ざん、傍受、 「中間者」 (MITM) 攻撃から通信を保護します。これら証明書は、パスワードや PIN などの個人情 報を受け渡す Horizon Clientと Horizon サーバ間において、安全なチャネルを提供します。 Horizon サーバとともにインストールされるデフォルトの自己署名証明書を使用すると、Horizon サーバと Horizon Client間の通信が危険にさらされる可能性があります。 HOL-1751-MBL-5-JA Page 60 HOL-1751-MBL-5-JA Horizon Connection Server に対する SSL のセットアップ 次のステップでは、公開キー セキュリティ プログラム用の証明書を発行する、組み込みの Microsoft Active Directory 証明書サービスを使用して、SSL 証明書が含まれる Horizon Connection Server を構成します。 Microsoft Certificate Authority corp.local ドメイン用の証明書を発行するために、Microsoft Certificate Authority サービスがす でにインストールされ、構成されています。 あなたの所属する組織では、MCA またはサードパーティの署名機関を使用する可能性があります。 『Active Directory 証明書サービスの概要』 は次の場所にあります: http://technet.microsoft.com/en-us/library/hh831740.aspx HOL-1751-MBL-5-JA Page 61 HOL-1751-MBL-5-JA Horizon 5.1 以降での SSL 証明書のセキュリ ティの強化 Horizon サーバの証明書が署名されていない場合にユーザーに表示され る警告 Horizon サーバの証明書が証明書機関により署名されていない場合にユーザーに表示される警告 Horizon Client には、Horizon サーバを完全に検証できない場合には警告を表示し、証明書を確認 するための改良されたメカニズムが含まれています。すべての Horizon サーバはデフォルトの自己 署名証明書とともにインストールされます。Horizon 5.1 以降のデフォルトでは、デフォルトの証 明書を CA により署名された証明書にアップグレードしないと、ユーザーには警告が表示されるよ うになっています。 新しいVMware Horizon ClientではHTTPS(HTTP over SSL)での通信のみに限定ができます。 HTTP通信はもはや許可されません。全てのVMware Horizon Clientの通信は暗号化されます。 HOL-1751-MBL-5-JA Page 62 HOL-1751-MBL-5-JA 高度な VMware Horizon コンポーネントの証明書の確認 Horizon Administrator ダッシュボードに表示される高度な Horizon コンポーネントの証明書チ ェック VMware Horizon では、接続されているコンポーネントを確認するためにより高度な証明書チェッ クを実行しています。Horizon Administrator ダッシュボードでは、信頼される CA (信頼される 証明機関ストアに存在する CA) によって署名されている証明書が含まれない Horizon サーバの横 に、赤い警告の記号が表示されます。 Windows 証明書ストアのサポート Windows 証明書ストアのサポート Horizon では、Horizon コンポーネントに関する証明書を管理するために、Windows 証明書スト アのみをサポートします。Horizon では、JKS および PKCS 証明書ストア、もしくは複雑な Java Keytool や証明書要求を生成したり、生成された署名書をキーストアにインポートして戻すコマン ド ライン ツールを用いるキーストアを使用できました。Windows管理者はWindowsの従来のツー ルに比べ、これらのツールには慣れていませんでしたが、現在は、Microsoft 管理コンソール (MMC) の証明書スナップインを使用して、証明書を取得してインポートするプロセスの一部を 実行できるようになりました。Windows 証明書ストアは、サーバとデスクトップ両方の Windows オペレーションによりデフォルトでインストールされ、また管理者にとって使い慣れた証明書管理 インターフェイスです。 このように Windows 証明書ストアを使用するよう変更されたため、証明書の秘密キーの保護を向 上させることができます。ほかの証明書ストアを使用していた場合、キーファイルの暗号化パスワ ードはテキスト ファイルで保存されていました。また、Windows 証明書ストアにより、SSL サー バ証明書を管理するプロセスが簡素化され、精度が高くなっています。CSR を生成し、キーストア HOL-1751-MBL-5-JA Page 63 HOL-1751-MBL-5-JA を作成し、キーストアに証明書をインポートする際の、以前の Java Keytool の方式は、より複雑 な方式でした。 Horizonサーバに必要な サーバに必要なSSL証明書 証明書 次の Horizon のコンポーネントには SSL 証明書が必要です。 • • • • • Horizon Connection サーバ Horizon セキュリティ サーバ Horizon Composer サーバ Horizon Client からの SSL 接続を終了する中間サーバ vCenter Server HOL-1751-MBL-5-JA Page 64 HOL-1751-MBL-5-JA 証明書の種類 証明書の署名要求で、1 台のサーバもしくは複数サーバ分の証明書を要請できます。 1 台のサーバの証明書: 指定された 1 台のサーバ用の証明書を受信します。このサーバには、 Horizon Connection Server とロード バランサのいずれかを使用できます。Horizon Client は、 Connection Server またはロード バランサへの 1 つの URL を使用してデスクトップにアクセス します。 複数サーバの証明書: 複数サーバの証明書には、SAN 証明書とワイルドカード証明書の 2 つの一 般的な種類があります。 Subject alternative name (SAN) 証明書: 次の形式の、1 つの名前に有効な証明書を受信し ます。 • desktops.<自社名>.com この種類の証明書を要求する場合は、次のように、この証明書に許可する代替サーバの URL を指 定します。 • vcs1.<自社名>.com • vcs2.<自社名>.com • vcs3.<自社名>.com 指定した複数の Horizon サーバ上のそれぞれに、同じ SAN 証明書を配置できます。 SAN 証明書は認定する可能性があるサーバを事前に指定するため、ワイルドカード証明書よりもセ キュリティ性が高いですが、SAN 証明書は拡張性が低いため、ワイルドカード証明書よりも安価で す。 ワイルドカード証明書: 組織のドメイン内のすべてのサーバに対する証明書を受信します。*.<自 社名>.com このワイルドカード証明書は、環境における 1 つのドメイン レベル内の任意のサーバに使用できま す。たとえば、*.<自社名>.com 証明書は、サブドメイン: • <部門名>.<自社名>.com に使用できますが、 • <部門名>.it.<自社名>.com には使用できません。 ワイルドカード証明書は最も柔軟性の高い種類の証明書であるため、最も高価です。ただし、認定 するサーバを事前に指定する必要がないため、ワールドカード証明書は SAN 証明書よりもセキュ HOL-1751-MBL-5-JA Page 65 HOL-1751-MBL-5-JA リティが低いとみなされます。管理者は、ドメイン内の任意のサーバにこの証明書を配置できま す。また、ワイルドカード証明書を使用すると、セキュリティ侵害が発生した場合に多くの部分が 被害に曝されます。 Horizon Administrator コンソールでの自己署名証明書の確認 このセクションでは、デフォルトの自己署名証明書が Horizon Connection Server に使用されて いることを確認します。 VMware Horizon Administrator コンソールにログインする メインコンソールのデスクトップにある Google Chrome をダブルクリックします VMware Horizon Administrator コンソールにログインする 1. [Horizon 7] フォルダをクリックします。 2. [Horizon 7 Administrator – A] を選択します。 プライバシーエラー 自己証明書を利用しているため、プライバシーエラーのメッセージが表示されます。 HOL-1751-MBL-5-JA Page 66 HOL-1751-MBL-5-JA 1. [Advanced] をクリックします。 2. [Proceed to h7cs-01a.corp.local (unsafe)] をクリックします。 HOL-1751-MBL-5-JA Page 67 HOL-1751-MBL-5-JA Horizon Administrator コンソールへのログイン 以下の認証情報を利用してログインします。 1. 2. 3. 4. ユーザ名:Administrator パスワード:VMware1! ドメイン:CORP [ログイン] をクリックします。 信頼されていない証明書 • [システムの健全性] ペインの [接続サーバ] に赤い四角のフラグが設定されていることに注 目します。 HOL-1751-MBL-5-JA Page 68 HOL-1751-MBL-5-JA • [接続サーバ] を展開し、[H7CS-01A] をクリックします。 • 信頼されない自己署名証明書が使用中であることが確認できるはずです。 • [OK] をクリックして、[接続サーバの詳細] ペインを閉じます。 Google Chromeを閉じる を閉じる • × ボタンをクリックし、ブラウザを閉じます。 • 有効な証明書をインストールした後、 Windows を再起動する必要があります HOL-1751-MBL-5-JA Page 69 HOL-1751-MBL-5-JA Microsoft CA からの署名証明書を要求する このセクションでは、 Microsoft Certificate Authority から新しい証明書を要求します。 Active Directory サービスの再起動 注: この実習ラボでは、ラボ環境の都合上、次のステップが必要になります。これは、このモジュ ールでのみ必要となるステップです。 1. メインコンソールのデスクトップにいることを確認します。 2. [Start] をクリックします。 3. 「services.msc」 と入力します。 HOL-1751-MBL-5-JA Page 70 HOL-1751-MBL-5-JA Active Directory Servicesの再起動 の再起動 1. 2. 3. 4. 5. 6. [Services] ウィンドウで [Active Directory Certificate Services] を選択します。 [Restart] をクリックします。 次に [Active Directory Domain Services] を選択します。 [Restart] をクリックします。 [Yes] を選択して、ほかのサービスを再起動します。 サービス ウィンドウを閉じ、次に進みます。 HOL-1751-MBL-5-JA Page 71 HOL-1751-MBL-5-JA Connection Server に RDP 接続 メインコンソールのデスクトップから、次の操作を行います。 1. [Start] をクリックします。 2. 検索ウィンドウに 「mstsc /c」 と入力します。 3. <Enter> キーを押します。 HOL-1751-MBL-5-JA Page 72 HOL-1751-MBL-5-JA RDP から Connection Server への接続 1. 「h7cs-01a.corp.local」 と入力します。 2. [Connect] をクリックします。 認証情報の入力 1. ユーザー名: CORP\administrator 2. パスワード: VMware1! 3. [OK] をクリックします。 HOL-1751-MBL-5-JA Page 73 HOL-1751-MBL-5-JA Microsoft 管理コンソール (MMC) の起動 H7CS-01A デスクトップから、次の操作を行います。 1. 2. 3. 4. [Start] アイコンを右クリックします。 [Run] を選択します。 mmc」 と入力します。 [OK] をクリックします。 * 注意 *: ControlCenter 上ではなく、H7CS-01A へのリモート デスクトップ セッション内から MMC を起動していることを確認します。 HOL-1751-MBL-5-JA Page 74 HOL-1751-MBL-5-JA MMC: スナップインの追加 MMC に証明書スナップインを追加する必要があります。 HOL-1751-MBL-5-JA Page 75 HOL-1751-MBL-5-JA 1. [File] を選択します。 2. [Add/Remove Snap-in] を選択します。 HOL-1751-MBL-5-JA Page 76 HOL-1751-MBL-5-JA 証明書スナップインの追加 ローカル証明書を管理するには、スナップインをインストール / 有効化する必要があります。 1. 2. 3. 4. [Certificates] をクリックします。 [Add] をクリックします。 [Computer account] をクリックします。 [Next] をクリックします。 HOL-1751-MBL-5-JA Page 77 HOL-1751-MBL-5-JA コンピュータの選択とスナップインのインストールの完了 1. [Local computer] をクリックします。 2. [Finish] をクリックします。 3. [OK] をクリックして [Snap-ins] ウィンドウを閉じます。 HOL-1751-MBL-5-JA Page 78 HOL-1751-MBL-5-JA 自己署名証明書 1. [Certificates (Local Computer)] を展開します。 HOL-1751-MBL-5-JA Page 79 HOL-1751-MBL-5-JA 2. [Personal] フォルダを展開します。 3. [Certificates] フォルダをクリックします。 4. Horizon Connection Server のインストール時に作成された既存の自己署名証明書を確認 します。証明書が自己署名である場合、通常は [Issued By] フィールドがローカル サーバ と同じ名前になります (下図参照)。フレンドリ名が vdm であることを確認します (こ の情報を見るにはウィンドウを拡大しなければならない場合があります)。フレンドリ名 は、使用するサーバ証明書を特定するために Horizon Connection Server によって使用さ れます。 HOL-1751-MBL-5-JA Page 80 HOL-1751-MBL-5-JA 既存の証明書の変更 1. 既存の証明書 h7cs-01a.corp.local を右クリックします。 2. [Properties] を選択します。 HOL-1751-MBL-5-JA Page 81 HOL-1751-MBL-5-JA フレンドリ名の値の変更 フレンドリ名 [vdm] を確認します。この値により、Horizon Connection Server で証明書を使用 できます。 1. フレンドリ名の値を 「self-signed」 に変更します。 2. [OK] をクリックします。 HOL-1751-MBL-5-JA Page 82 HOL-1751-MBL-5-JA 新しい SSL 証明書の要求 証明書の登録を開始するには、次の操作を行います。 1. [Certificates] を右クリックします。 2. [All Tasks] を選択します。 3. [Request New Certificate...] を選択します。 HOL-1751-MBL-5-JA Page 83 HOL-1751-MBL-5-JA [Next] をクリック [Next] をクリックして登録を開始します。 HOL-1751-MBL-5-JA Page 84 HOL-1751-MBL-5-JA 証明書登録ポリシー • [Active Directory Enrollment Policy] を選択します。 • [Next] をクリックします。 HOL-1751-MBL-5-JA Page 85 HOL-1751-MBL-5-JA 証明書の要求 1. [Web Server] チェック ボックスをオンにします。 2. [Web Server] チェックボックスの下の [More information is required to enroll this certificate] のリンクをクリックします。 HOL-1751-MBL-5-JA Page 86 HOL-1751-MBL-5-JA 証明書のプロパティ - [Subject] 証明書要求のプロパティの [Subject] タブで、次の操作を行います。 1. [Subject name] の [Type] を、ドロップダウン リストから [Common name] に変更しま す。 2. [Value] フィールドに次のように入力してサーバ名を追加します: h7cs-01a.corp.local 3. [Add] をクリックします。 4. [Alternative name] の [Type] を、ドロップダウン リストから [DNS] に変更します。 5. [Value] フィールドに 「h7cs-01a.corp.local」 と入力して FQDN を追加します。 6. [Add] をクリックします。 7. [Apply] をクリックしますが、まだ [OK] はクリックしないでください。 HOL-1751-MBL-5-JA Page 87 HOL-1751-MBL-5-JA 証明書のプロパティ - [General] 1. [General] タブを選択します。 2. [Friendly name] フィールドに 「vdm」 と入力して名前を追加します。 3. [Apply] をクリックしますが、まだ [OK] はクリックしないでください。 HOL-1751-MBL-5-JA Page 88 HOL-1751-MBL-5-JA 証明書のプロパティ - [Private Key] 1. 2. 3. 4. 5. [Private Key] タブをクリックします。 [Key Options] を展開します。 [Make private key exportable] チェック ボックスをオンにします。 [Apply] をクリックします。 [OK] をクリックします。 HOL-1751-MBL-5-JA Page 89 HOL-1751-MBL-5-JA 証明書の登録 [Enroll] をクリックして、CA から発行された証明書を適用します。 HOL-1751-MBL-5-JA Page 90 HOL-1751-MBL-5-JA 証明書登録成功 • 次のような [Succeeded] メッセージが表示されるはずです。 • [Finish] をクリックします。 HOL-1751-MBL-5-JA Page 91 HOL-1751-MBL-5-JA 新しく発行された SSL 証明書の確認 1. 2. 3. 4. 5. 6. [Certificates (Local Computer)] を展開します。 [Personal] フォルダを展開します。 [Certificates] フォルダをクリックします。 新しい証明書が ControlCenter-CA から発行されていることを確認します。 確認が終了したら MMC を閉じます。RDP 接続は接続解除しないでください。 [No] を選択して、コンソール設定を保存します。 注: h7cs-01a.corp.local へのリモート接続を閉じないように注意してください。 Horizon Connection Server サービスの再起動 証明書の要求を完了し、VMware Horizon Connection Server 用の新しい証明書を追加したた め、いくつかのサービスを再起動する必要があります。このプロセスにより、Connection Server で新しい証明書が使用されます。 HOL-1751-MBL-5-JA Page 92 HOL-1751-MBL-5-JA Services Control パネルの起動 h7cs-01a.copr.local デスクトップ上で、 1. 2. 3. 4. Windows のスタートボタンを右クリックします。 Runをクリックします。 services.mscと入力します。 OK をクリックします。 HOL-1751-MBL-5-JA Page 93 HOL-1751-MBL-5-JA Horizon Connection Server サービスの再起動 1. VMware Horizon View Connection Serverをクリックします。 2. Restart ボタンをクリックします。 必要な全ての VMware Horizon サービスが開始されている事を確認します。VMware Horizon View Script Host サービスは開始している必要はありません。 必要なサービスが Running になる まで待ってから次へ進んでください。 h7cs-01a.corp.local リモート デスクトップ セッションの最小化 RDP 接続を最小化します。 HOL-1751-MBL-5-JA Page 94 HOL-1751-MBL-5-JA Horizon Administrator コンソールで署名さ れた証明書が有用か確認 Horizon Connection Server に新しい証明書が正しくインストールされて、使用されているか確 認します。 Google Chromeを起動 を起動 Main Console デスクトップで以下を実行します。 1. Google Chrome をダブルクリックします。 Horizon Administrator コンソールへの接続 1. Horizon 7 フォルダーをクリックします。 2. Horizon 7 Administrator - A を選択します。 3. VMware Horizon Connection Server への URL が緑色の鍵になっている事に注目してく ださい。これは証明書が信頼されている事を意味しています。 Horizon Administrator コンソールへのログイン 以下の認証情報を使用し、Horizon Administrator コンソールへログインします。 1. ユーザー名: administrator 2. パスワード: VMware1! 3. ドメイン: CORP HOL-1751-MBL-5-JA Page 95 HOL-1751-MBL-5-JA 4. ログイン をクリックします。 信頼された証明書 • システムの健全性パネルで、Connection Servers が緑色の四角いマークになっている点に 注目してください。 • 接続サーバの左側の ▼ をクリックし、"H7CS-01A" をクリックします。 • ステータスが「問題は検出されませんでした」、SSL証明書が「有効」になっている事が確認で きます。 HOL-1751-MBL-5-JA Page 96 HOL-1751-MBL-5-JA Google Chrome を閉じる • ブラウザの X をクリックして、Google Chrome を閉じます。 HOL-1751-MBL-5-JA Page 97 HOL-1751-MBL-5-JA Horizon Security Server – Microsoft CA で署名された証明書の要求 このセクションは情報のみで、次のステップのラボ作業は用意されていません。 以下は、ドメインに参加していない Horizon Security Server が、CA署名された証明書で接続を 保証するためのプロセスの概略です。 このセクションでは、ドメインに参加していないウィンドウズ サーバからマイクロソフト証明局に 新しい証明書を要求します。 Horizon Security Server の自己署名された証明書 Microsoft 管理コンソール (MMC) の起動 *注意事項 注意事項*: 情報のみでラボ作業はありません 情報のみでラボ作業はありません。 Security Server のデスクトップで以下を実行します。 1. Startアイコンをクリックします。 HOL-1751-MBL-5-JA Page 98 HOL-1751-MBL-5-JA 2. MMC と入力します。 3. MMC アプリケーションを選択して起動します。 HOL-1751-MBL-5-JA Page 99 HOL-1751-MBL-5-JA MMC - スナップインの追加 *注意事項 注意事項*: 情報のみでラボ作業はありません 情報のみでラボ作業はありません。 MMCコンソールに証明書スナップインを追加する必要があります。 1. Fileを選択します。 2. Add/Remove Snap-inを選択します。 HOL-1751-MBL-5-JA Page 100 HOL-1751-MBL-5-JA Snap-in証明書スナップインの追加 証明書スナップインの追加 *注意事項 注意事項*: 情報のみでラボ作業はありません 情報のみでラボ作業はありません。 ローカルの証明書を管理するために、スナップインをインストールして有効化する必要がありま す。 1. 2. 3. 4. Certificatesをクリックします。 Addをクリックします。 Computer accountをクリックします。 Next をクリックします。 HOL-1751-MBL-5-JA Page 101 HOL-1751-MBL-5-JA コンピュータの選択とスナップインのインストールの完了 *注意事項 注意事項*: 情報のみでラボ作業はありません 情報のみでラボ作業はありません。 1. Local computerを選択します。 2. Finishをクリックします。 OKをクリックします。 HOL-1751-MBL-5-JA Page 102 HOL-1751-MBL-5-JA 自己署名された証明書 *注意事項 注意事項*: 情報のみでラボ作業はありません 情報のみでラボ作業はありません。 1. Certificates (Local Computer) を広げます。 2. Personalフォルダーを広げます。 3. Certificatesフォルダーをクリックします。 Horizon Connection Server のインストールの際に作成された、既存の自己署名された証明書が あります。 既存の証明書の修正 *注意事項 注意事項*: 情報のみでラボ作業はありません 情報のみでラボ作業はありません。 1. 既存の証明書 (HVCS-W8-02.corp.local) の上で、右クリックします。 2. Propertiesを選択します。 HOL-1751-MBL-5-JA Page 103 HOL-1751-MBL-5-JA フレンドリ名の変更 *注意事項 注意事項*: 情報のみでラボ作業はありません 情報のみでラボ作業はありません。 フレンドリ名 “vdm” は、Horizon Connection Server で使われる証明書を有効にするキーです。 1. Friendly nameの値を self-signed に変更します。 2. OKをクリックします。 HOL-1751-MBL-5-JA Page 104 HOL-1751-MBL-5-JA 新しい 新しいSSL証明書の要求 証明書の要求 *注意事項 注意事項*: 情報のみでラボ作業はありません 情報のみでラボ作業はありません。 証明書の登録を始めます。 1. 2. 3. 4. Certificatesを右クリックします。 All Tasks を選択します。 Advanced Operations を選択します。 Create Custom Request...を選択します。 HOL-1751-MBL-5-JA Page 105 HOL-1751-MBL-5-JA 証明書の登録 *注意事項 注意事項*: 情報のみでラボ作業はありません 情報のみでラボ作業はありません。 Next をクリックして登録を開始します。 HOL-1751-MBL-5-JA Page 106 HOL-1751-MBL-5-JA 証明書登録ポリシー *注意事項 注意事項*: 情報のみでラボ作業はありません 情報のみでラボ作業はありません。 • Proceed without enrollment policyを選択します。 • Nextをクリックします、 HOL-1751-MBL-5-JA Page 107 HOL-1751-MBL-5-JA カスタム要求 *注意事項 注意事項*: 情報のみでラボ作業はありません 情報のみでラボ作業はありません。 1. Template で、ドロップダウンから(No template) Legacy Key を選択します。 2. Request format で、PKCS #10 を選択します。 HOL-1751-MBL-5-JA Page 108 HOL-1751-MBL-5-JA 証明書情報 - カスタム要求 *注意事項 注意事項*: 情報のみでラボ作業はありません 情報のみでラボ作業はありません。 1. Details のドロップダウンをクリックします。 2. 要求を修正するために Properties をクリックします。 HOL-1751-MBL-5-JA Page 109 HOL-1751-MBL-5-JA 証明書のプロパティ - 全般 *注意事項 注意事項*: 情報のみでラボ作業はありません 情報のみでラボ作業はありません。 1. General タブを選択します。 2. Friendly name フィールドに vdm と入力します。 3. OK ではなく、Apply をクリックします。 証明書のプロパティ 証明書のプロパティ- Subject *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません 証明書要求のSubjectプロパティにて 1. “Subject Name”の”Type”を、ドロップダウンリストより”Common Name”に変更 2. “Value”フィールドにサーバー名を追加: (自分のサーバー名)HVSS-W8-02.corp.local 3. “Add”をクリック HOL-1751-MBL-5-JA Page 110 HOL-1751-MBL-5-JA 4. “Alternative Name”の”Type”を、ドロップダウンリストより”DNS”に変更 5. “Value”フィールドにFQDN名を追加: (自分のFQDN名)HVSS-W8-02.corp.local 6. “Add”をクリック ・5.?6.を繰り返し ・“Value”フィールドにホスト名を追加: (自分のホスト名)HVCS-W8-02 ・“Add”をクリック 7. “Apply”をクリックします。まだ”OK”はクリックしないでください。 証明書のプロパティ 証明書のプロパティ- Extensions *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません 証明書要求のSubjectプロパティにて 1. “Key Usage”オプションを展開します HOL-1751-MBL-5-JA Page 111 HOL-1751-MBL-5-JA 2. “Decipher Only“を選択します 3. “Add”をクリックします 4. “Apply”をクリックします。まだ”OK”はクリックしないでください。 HOL-1751-MBL-5-JA Page 112 HOL-1751-MBL-5-JA 証明書のプロパティ 証明書のプロパティ- Private Key *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません 1. 2. 3. 4. 5. 6. 7. “Private Key”を選択します “Key Options”を展開します “Make private key exportable”をチェックします “Key Type”を展開します “Key Type”から”Exchange”を選択します “Apply”をクリックします “OK”をクリックします HOL-1751-MBL-5-JA Page 113 HOL-1751-MBL-5-JA カスタムリクエストの作成 *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません ”Custom request”を完了するため、“Next”を選択します HOL-1751-MBL-5-JA Page 114 HOL-1751-MBL-5-JA オフラインリクストの保存 *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません 1. 証明書の配置場所とファイル名を選択します。 2. ファイルフォーマットには”Base 64”を選択します。 3. Custome requestを完了するため、“Next”を選択します HOL-1751-MBL-5-JA Page 115 HOL-1751-MBL-5-JA カスタムリクエストの カスタムリクエストのWebエンロール エンロール *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません IEを開き、認証局のエンロールサイトにアクセすします 1. http://controlcenter.corp.local/certsrv 2. 認証情報を入力します。 3. “OK”をクリックします。 HOL-1751-MBL-5-JA Page 116 HOL-1751-MBL-5-JA 証明書要求のタスク *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません 1. “Request a certificate”を選択します HOL-1751-MBL-5-JA Page 117 HOL-1751-MBL-5-JA “Advanced Certificate Request”の提出 の提出 *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません 1. “advanced certificate request”を選択します HOL-1751-MBL-5-JA Page 118 HOL-1751-MBL-5-JA PKCS #10の提出 の提出 *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません 1. “Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file or submit a renewal request by using a base-64-encoded PKCS #7 file”を選択します Custom Requestを開く を開く *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません 1. カスタムリクエストを含んだ証明書ファイルを選択します。 2. “Open with...”を選択し、NotepadもしくはWordpadでファイルを開きます HOL-1751-MBL-5-JA Page 119 HOL-1751-MBL-5-JA 証明書要求のハッシュ値のコピー *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません カスタムリクエストの全文を選択し、コピー(もしくは切り取り)します HOL-1751-MBL-5-JA Page 120 HOL-1751-MBL-5-JA 証明書要求のハッシュ値の送付 *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません 1. カスタムリクエストの中身を、このページの”Saved Request”のフィールドに貼り付けま す 2. Certificate Templateを”Web Server”に変更します 3. “Submit”をクリックします HOL-1751-MBL-5-JA Page 121 HOL-1751-MBL-5-JA 署名された証明書チェーンのダウンロード *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません 1. エンコードタイプを“Based 64 encoded”に変更します 2. “Download certificate chain”をクリックします HOL-1751-MBL-5-JA Page 122 HOL-1751-MBL-5-JA 署名された証明書の保存 *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません 1. 署名された証明書に名前をつけます 2. “Save as type”で “PKCS #7”を選択します 3. “Save”をクリックします HOL-1751-MBL-5-JA Page 123 HOL-1751-MBL-5-JA 署名された証明書のインポート *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません Security ServerがインストールされているマシンのMMC→証明書のスナップインにて実施します 1. 2. 3. 4. 5. “Certificates”をクリックします “Personal”フォルダーを展開します “Certificates”フォルダーを右クリックします “All Tasks”を選択します “Import”を選択します HOL-1751-MBL-5-JA Page 124 HOL-1751-MBL-5-JA 証明書インポートウィザードの開始 *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません “Next”をクリックします HOL-1751-MBL-5-JA Page 125 HOL-1751-MBL-5-JA 署名済み証明書チェーンファイルのインポート *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません 1. 2. 3. 4. 5. “Browse”をクリックします “PKCS #7 Certificate”を選択します 証明書ファイルを選択します “Open”をクリックします “Next”をクリックします HOL-1751-MBL-5-JA Page 126 HOL-1751-MBL-5-JA 証明書ストア *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません 1. “Default”もしくは”Personal”証明書ストアを選択します。 2. “Next”をクリックします HOL-1751-MBL-5-JA Page 127 HOL-1751-MBL-5-JA インポートウィザードの完了 *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません 1. “Finish”をクリックします 2. 確認画面が表示されたら”OK”をクリックします HOL-1751-MBL-5-JA Page 128 HOL-1751-MBL-5-JA ルート証明書の移動 *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません 1. 2. 3. 4. “Certificates (Local Computer)”を展開します “Personal”フォルダーを展開します “Certificates”フォルダをクリックします CAのルート証明書を”Trusted Root Certification Authority”配下の “Certificates”フォル ダーにドラッグします 新規発行した 新規発行したSSL証明書の確認 証明書の確認 *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません 1. “Certificates (Local Computer)”を展開します 2. “Personal”フォルダーを展開します 3. “Certificates”フォルダーをクリックします “ControlCenter-CA”から発行された証明書を確認します 4. 確認後、MMCを閉じます。RDPセッションはまだ切断しないでください HOL-1751-MBL-5-JA Page 129 HOL-1751-MBL-5-JA “Horizon Security Serverサービスの再起動 サービスの再起動 *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません Security Serverにて 1. “VMware Horizon View Security Server”サービスを再起動します 2. (もしBlastを使用している場合)”VMware Horizon View Blast Secure Gateway”サー ビスを再起動します HOL-1751-MBL-5-JA Page 130 HOL-1751-MBL-5-JA 署名済み証明書が使用されているかを確認 *注意 注意*: 情報提供のみ 情報提供のみ。ラボでは実施しません ラボでは実施しません Security Serverの表示が緑色になっていること、Statusが”No problem detected”になっている こと、SSL Certificateが”Valid”になっていることを確認します。 HOL-1751-MBL-5-JA Page 131 HOL-1751-MBL-5-JA モジュール 4 - Identity Manager (30 分) HOL-1751-MBL-5-JA Page 132 HOL-1751-MBL-5-JA イントロダクション VMware Identity Managerはオンプレミスのディレクレトリインフラを拡張し、シームレスなシ ングルサインオン(SSO)を提供するサービスです。ユーザーは共通のインターフェースを用い、 デバイスからWeb、モバイル、SaaS、VMware Horizon デスクトップ、アプリケーションならび にレガシーアプリケーションにアクセスできます。VMware Identity Managerはサービスとして 利用(http://www.vmware.com/products/identity-manager/)することもでき、オンプレミス環 境にインストールすることもできます。Identity ManagerはAirWatch Enterprise Mobility Management とも連動し、業界に依存しないモバイルアプリケーション向けのシームレスな SSO、ならびにエンタープライズアプリストア、SAML Identity Provider (IDP)、アプリケーショ ン利用分析、コンディショナルアクセスポリシー等の機能を実現します。 HOL-1751-MBL-5-JA Page 133 HOL-1751-MBL-5-JA VMware Identity Manager Components 現在多くの企業は少なくとも1つか2つのSaaSアプリを使用しています。通常は、アプリの機能を 所有する事業部門はアプリ提供の管理とユーザー管理を手作業で行います。せいぜい、IT担当者と 調整してヘルプデスクやチケット管理、新規ユーザーの登録削除やパスワードリセットをするぐら いです。1つや2つのSaaSアプリならこれで良いかもしれないですが、多くの企業は第3、第4、 第5のアプリを展開し、対応するモバイル用アプリのためこれらの手作業は複雑を極めるようにな ります。この複雑さがコンプライアンスとセキュリティーを脅かします。それは、どの従業員がど のアプリのアクセス権を持っているか、どのデータが無管理で暗号化されていないデバイスに保存 されているかを、IT担当者は誰も確証が持てないからとなります。VMware Identity Manager と AirWatch® Enterprise Mobility Management™ と共に使うと、アプリのタイプとデバイスのタ イプにまたがってユーザーを管理する単一のインフラをITは手に入れることができます。 もう一つの好例は、 Exchange Online に移行して Exchange 環境を簡素化するため Office 365 の展開を計画している組織です。これらの組織は Office 365 アプリを無管理のデバイスに展開 し、さらにはネイティブのモバイル iOS、Android、Windows 10 Office アプリにも展開したいと 考えるかもしれません。Office 365が提供する利点を全て利用できるライセンスを既に受けている かもしれませんが、Office 365は完全に別のAzure ADディレクトリを使用し、既存の複雑な Active Directoryとの同期するのは困難を極めます。VMware Identity Managerは既存Active Directoryと一体化し、単一の情報源を維持し、展開を早めることができます。 HOL-1751-MBL-5-JA Page 134 HOL-1751-MBL-5-JA Identity Manager セキュリティ Identity Manager (Workspace ONEの一部)には、いくつかのセキュリティ・オプションが含 まれます。少し例を挙げると、ユーザー認証オプションからのレンジ、デバイスコンプライアンス チェック、SSOするためのSAML連携、ウェブアプリへアクセスするためのポリシー管理などがあ ります。このレッスンにおいて、セキュリティオプションのいくつかを確認し、組織の要求に適合 するセキュリティレベルを達成するための選択を提供する方法を学習します。 Google Chrome を起動する メインコンソールから Google Chrome をダブルクリックします。 Workspace ONE の起動 Workspace ONE をクリックします。 HOL-1751-MBL-5-JA Page 135 HOL-1751-MBL-5-JA ドメインの選択 デフォルトで表示されるドメインを選択させられるかもしれません。もしプロンプトが表示されな ければ、次のステップまで進行してください。 1. ドメインは corp.local を選択します。 2. Next をクリックします。 HOL-1751-MBL-5-JA Page 136 HOL-1751-MBL-5-JA 管理者としてログイン 管理者としてログインします。 1. ユーザー名: administrator 2. パスワード: VMware1! 3. ログイン をクリックします。 HOL-1751-MBL-5-JA Page 137 HOL-1751-MBL-5-JA 管理コンソールを起動する 1. ドロップダウン をクリックします。 2. AdminConsole を選択します。 アイデンティティとアクセス管理 1. ID と アクセス管理 を選択します。 2. ディレクトリ を選択します。 Identity Manager は Active Directory 環境の corp.local と通信するように構成されています。 これにより、管理者は Identity Manager と同期されているユーザーとグループを選択することが できます。ユーザーとグループが正常に同期されたら、管理者はそれらのユーザーにリソースを割 り当てることができます。組織は、 SSO のために統合 Windows 認証を活用する場合は、 Identity Manager のアプライアンスは、 Active Directory ドメインに参加させる必要がありま す。 3. セットアップ を選択します。 HOL-1751-MBL-5-JA Page 138 HOL-1751-MBL-5-JA ワーカー vidm-01a.corp.local を選択します。 認証アダプタ 認証アダプタ を選択します。 認証方法 Identity Managerは、認証のための複数のオプションを提供します。現在、 PasswordIdpAdapter は有効になっており、ユーザーポータルにアクセスするためにユーザーは Active Directory のユーザー名とパスワードの入力を要求されます。マルチプルコネクタは、異な る種類の認証アダプタを利用する事が可能です。例では、内部および外部の両方の接続をサポート するために、 Identity Manager を使用しています。内部接続の場合は、Active Directory のユー HOL-1751-MBL-5-JA Page 139 HOL-1751-MBL-5-JA ザー名とパスワードが十分です。しかし外部接続は、2要素認証を必要とするでしょう。 SecurIDIdpAdapterは、そのために使用することができます。 ネットワーク範囲 をクリックします。 HOL-1751-MBL-5-JA Page 140 HOL-1751-MBL-5-JA ネットワーク範囲 すべての範囲 と呼ばれるネットワーク範囲は、デフォルトで作成されます。このネットワークの範 囲は、0.0.0.0 から 255.255.255.255 までのインターネット上で利用可能なすべてのIPアドレス が含まれます。展開の際、単一のアイデンティティプロバイダインスタンスを持っている場合で も、 IP アドレスの範囲を変更し、デフォルトのネットワーク範囲に特定の IP アドレスを除外また は含め、範囲を追加することができます。特定の目的のために適用することができ、特定のIPアド レスと他のネットワークの範囲を作成することができます。ネットワークトポロジに基づいて、 VMware Identity Manager の展開のためにネットワークの範囲を定義します。 管理 をクリックします。 ポリシー ポリシー をクリックします。 HOL-1751-MBL-5-JA Page 141 HOL-1751-MBL-5-JA Default Access Policy Set default_access_policy_set をクリックします。 ポリシー ルール 画面をスクロールさせ、グリーンのプラスアイコンを選択します。 HOL-1751-MBL-5-JA Page 142 HOL-1751-MBL-5-JA ポリシー ルールの追加 VMware Identity Manager のポリシーは、ユーザーが自分のアプリのポータルにアクセスした り、指定したWebアプリケーションを起動するために、条件を指定するルールのセットです。管理 者は、ポリシーの一部としてルールを作成します。ポリシー内の各ルールは、次の情報を指定する ことができます。 ■ 企業ネットワークの内部または外部などのユーザーがログインできるネットワーク範囲。 ■ このポリシーによってアクセスが許可されるデバイスタイプ。 ■ 有効な認証方法が適用される順序。 ■ 認証の有効時間数。 ■ カスタムのアクセス拒否メッセージ。 コンテンツ アクセス 各ルールでは、ネットワークの範囲を指定することにより、ユーザーベースを決定します。ネット ワーク範囲は、一つ以上のIP範囲から設定します。ルールが管理するデバイスの種類は、Webブラ HOL-1751-MBL-5-JA Page 143 HOL-1751-MBL-5-JA ウザ、Identity Managerのクライアントアプリ、iOS、Android、Windows 10、Mac OS X およ びすべてのデバイスタイプです。 コンテンツにアクセスできるデバイスタイプ、およびそのタイプのデバイスによるすべての認証リ クエストでポリシールールを使用するように指定し、ルールを構成できます。 認証方法 ポリシールールの中で、認証方法を適用する順序を定めることができます。認証方法はリストに書 かれた順に適用されます。ポリシーに定められた認証方法とネットワーク範囲に合致する、最初の アイデンティティ・プロバイダ(認証者)・インスタンスが選択され、ユーザー認証要求がアイデ ンティティ・プロバイダ・インスタンスに認証のため転送されます。認証が失敗すると、リストに ある次の認証法が選択されます。証明書認証を使う場合、この方法がリスト内の最初の認証法でな ければなりません。 サインインする前に2つの認証法で資格情報を渡すことをユーザーに要求するよう、アクセスポリ シールールを設定できます。片方または両方の認証法が失敗し、代替法が設定されているとき、ユ ーザーは次の設定された認証法で資格情報を入力するよう求められます。以下の2つのシナリオ で、この認証の連携がどのように働くかを記載しています。 ■ 最初のシナリオでは、アクセスポリシールールはパスワードを使用して、Kerberos証明書でユ ーザーに認証を要求するように設定されています。フォールバック認証は、認証のためのパスワー ドとRADIUS証明書を要求するように設定されています。ユーザーは正しいパスワードを入力しま すが、正しいKerberos認証資格情報を入力することができません。ユーザーが正しいパスワードを 入力したので、フォールバック認証要求はRADIUS証明書のみです。ユーザーはパスワードを再入 力する必要はありません。 ■ 2番目のシナリオでは、アクセスポリシールールはユーザーへ自身のパスワードとKerberos 資 格情報を使用して認証を要求されるように構成されています。フォールバック認証は、 RSAの SecurID および RADIUS を要求するように設定されています。ユーザーは正しいパスワードを入 HOL-1751-MBL-5-JA Page 144 HOL-1751-MBL-5-JA 力しますが、正しいKerberos認証資格情報を入力することができません。フォールバック認証要求 は、RSA SecurID証明書およびRADIUS 証明書の両方を要求します。 続けるには Cancel をクリックします。 HOL-1751-MBL-5-JA Page 145 HOL-1751-MBL-5-JA カタログ カタログ を選択します。 カタログ カタログは、ユーザーに割り当てることができるすべてのリソースのリポジトリとなります。リソ ースには、HorizonアプリケーションやHorizonデスクトップへのアクセス資格は、Horizon環境か ら取得するので、追加のセキュリティ設定は不要です。このため、ユーザーのアクセス制御を行う 際、別々のコンソールを利用して設定する必要がありません。 ThinAppのリソース割り当ては、ユーザー単位で行うことができます。ThinAppアプリケーション のアクセス制御を設定する際に、Active Directoryのグループを指定しなくてもよくなるため、ア プリケーションへのアクセス制御の設定をより柔軟に行うことが可能になります。Identity Manager Desktop エージェントをThinAppパッケージが管理されるWindowsのエンドポイント にインストールする必要があります。 VMware Identity Managerでは、クラウド上のWebアプリケーションへのアクセスもカタログに 含めることができます。クラウドアプリケーションのカタログ例としては、AWS、Box.Net、 Concur、Dropbox、O365、Salesforceなどが挙げられます。100近くのアプリケーションが含ま れます。 さらに、VMware Identity Managerは、AirWatchインスタンスと統合することができ、統一化さ れたカタログを作成することが可能です。 HOL-1751-MBL-5-JA Page 146 HOL-1751-MBL-5-JA カテゴリー機能を利用することによって、リソースをグループにまとめることができます。ユーザ ーは特定のカテゴリーを選択することによって、カテゴリー内のアプリケーションリストを簡単に 表示させることができるようになります。 7-Zip 9.20 をクリックします。 HOL-1751-MBL-5-JA Page 147 HOL-1751-MBL-5-JA 7-Zip アプリケーション情報 リソースへのアクセスは、Active Directoryグループまたはユーザーエンタイトルメントによって 制御されています。これを利用したい場合、ユーザーがカタログに移動しアプリケーションを有効 化する事でユーザーアクティベートされます。管理者は、ユーザーのポータルに直接アプリケーシ ョンのリンクをプッシュし、その設定を自動的に変更することができます。 Catalog を選択します。 HOL-1751-MBL-5-JA Page 148 HOL-1751-MBL-5-JA Calculator を選択 Calculator を選択します。 HOL-1751-MBL-5-JA Page 149 HOL-1751-MBL-5-JA Calculator アプリケーションとデスクトップが有効化された Horizon が Identity Manager と同期している 場合、ユーザーとグループの資格も取得されます。これがグループまたは個々の資格を変更するオ プションがない理由です。変更が行われる必要がある場合は、VMware Horizon Administrator コ ンソール経由でそれらを行う必要があり、次の同期サイクル時に Identity Manager で変更されま す。 officer, chief ([email protected]) を選択します。 HOL-1751-MBL-5-JA Page 150 HOL-1751-MBL-5-JA CSO の資格 Identity Managerの中でユーザーにどのような資格があるかについて、確認することもできます。 画面では、CSOユーザーがウェブ・アプリやHorizonデスクトップ、RDSアプリケーション、 ThinApp パッケージ へのアクセス権が付与されていることを確認できます。 admin admin を選択します。 HOL-1751-MBL-5-JA Page 151 HOL-1751-MBL-5-JA 管理コンソールからのログアウト 1. [ログアウト] を選択します。 2. [Workspace ONE] タブを閉じます。 これでIdentity Manager Securityに関するレッスンの終了となります。 HOL-1751-MBL-5-JA Page 152 HOL-1751-MBL-5-JA Identity Manager ユーザー (Workspace ONE) ポータル モバイルクラウド時代、多くの場合にITは会社所有ではないデバイスを利用しているモバイルのユ ーザーを管理してサポートしなければなりません。ユーザーの生産性のために、アプリケーション やデータにアクセスする方法に一貫性がなければなりません。どこからでもあっても、複数のユー ザーアカウント、パスワード、およびその他の複雑な認証方法の複雑さなしに"ただ仕事"できるこ とが必要です。 シングルサインオンにより、仕事に使用する多くのアプリケーションやシステムにアクセスするた めの複数のユーザー名やパスワードを覚えておく必要がなくなります。サービスデスクへの問い合 わせの手間と費用の削減だけでなく、ユーザーの識別情報の統合は、アプリケーションへのアクセ スを一箇所で無効にして、従業員の離職の際のデータ漏洩から保護します。VMware Identity Manager(Workspace ONEとしても呼ばれる)は、アイデンティティプロバイダ(IDP)または トークンジェネレーターを含みますが、どんなデバイスの種類でも利用可能な1つの便利なカタロ グとランチャにシングルサインオンアプリケーションを集約する場所であってもよく、既存のアイ デンティティプロバイダと統合することができます。 HOL-1751-MBL-5-JA Page 153 HOL-1751-MBL-5-JA Identity Manager Desktop アプリケーションの起動 Identity Manager Desktop アプリケーションは、ThinAppアプリケーションを管理し、端末に展 開できるようにしたい場合に必要です。デフォルトでは、セッションにユーザーがログインしたと きにアプリケーションが自動的に起動しますが、このラボでは学習のために手動で行うように構成 しています。 1. [Windowsのスタートメニュー] を選択します。 2. [All Programs] を選択します。 3. [VMware] > [Identity Manager Desktop] フォルダにある [Identity Manager Desktop] を選択します。 HOL-1751-MBL-5-JA Page 154 HOL-1751-MBL-5-JA HOL-1751-MBL-5-JA Page 155 HOL-1751-MBL-5-JA Identity Manager Desktopへのログイン へのログイン CSOとしてログインします。 1. ユーザー名: cso 2. パスワード: VMware1! 3. [Sign in] を選択します。 Main Consoleで でGoogle Chromeの起動 の起動 Main ConsoleでGoogle Chromeをダブルクリックします。 HOL-1751-MBL-5-JA Page 156 HOL-1751-MBL-5-JA Workspace ONEの選択 の選択 ブックマークバーの [Workspace ONE] を選択します。 ログイン 以下の資格でWorkspace ONEにログインします。 1. ユーザー名: cso 2. パスワード: VMware1! 3. [ログイン] をクリックします。 HOL-1751-MBL-5-JA Page 157 HOL-1751-MBL-5-JA Workspace ONEのカタログ のカタログ いったんWorkspace ONEにログインすると、CSOユーザーがランチャのページ上にアプリケーシ ョンを持っていないことがわかります。管理者がWorkspace ONEでアプリケーションを定義する ときに、自動的にアプリケーションを有効にするか、ユーザーにアクティベーションさせるかのオ プションがあります。自動が有効になっていると、ログイン時にユーザーがランチャのページでア プリケーションが表示されます。ユーザーによるアクティベーションを選択したアプリケーション は、ユーザーが最初にカタログを参照し、使用するアプリケーションを追加する必要があります。 このラボ環境では、すべてのアプリケーションが、ユーザーによるアクティベーションに設定され ています。 1. [カタログ] を選択します。 Workspace ONEのカタログ のカタログ カタログには、ユーザーに資格付与されたすべてのアプリケーションが一覧表示されます。以下の ような多くの種類のアプリケーションがサポートされています。 - Web - SaaS - ThinApps - VMware Horizon デスクトップ と 公開アプリケーション - Citrix XenDesktopとXenAppのアプリケーション - IOSとAndroidのネイティブアプリケーション ユーザーが探しているアプリケーションを簡単に見つけるために、管理者はアプリケーションをカ テゴリにグループ分けすることもできます。今回のラボ環境では、4つのカテゴリが作成されてい ます。 HOL-1751-MBL-5-JA Page 158 HOL-1751-MBL-5-JA - Horizon Applications - Horizon Desktops - ThinApp - Web アプリケーションを有効にするためには、使用したいアプリの [ADD] ボタンをクリックする必要 があります。次のアプリケーションを追加します。 1. 2. 3. 4. 7-Zip 9.20 Calculator VMware vCenter Console Windows 10 x64 Desktop HOL-1751-MBL-5-JA Page 159 HOL-1751-MBL-5-JA Workspace ONEのカタログ のカタログ ランチャー を選択します。 Workspace ONEのランチャー のランチャー カタログから追加されたアプリケーションは、Workspace ONEのランチャーのページで利用でき るようになりました。 ThinAppのポップアップメッセージ のポップアップメッセージ ハードウェア速度および利用可能なリソースによっては、Main Consoleのシステムトレイ上にあ るポップアップメッセージが表示されない場合があります。7-Zip 9.20 は ThinAppアプリケーシ ョンです。Workspace ONEでThinAppアプリケーションを使用するためには、端末にVMware HOL-1751-MBL-5-JA Page 160 HOL-1751-MBL-5-JA Identity Managerエージェントをインストールする必要があります。VMware Identity Manager エージェントは、ThinAppアプリケーションのインストール、削除 およびアクセスの検証を担当し ます。ThinAppアプリケーションは、自己完結型の.EXEファイルであり、実際に実行される従来型 のインストールはされないことに注意してください。アプリケーションのファイルの種類の関連付 けを(もしあれば)有効にするために、VMware Identity Managerエージェントは、ワークステ ーションにThinAppパッケージを登録し、すべての.EXEをダウンロードします。 7-Zip File Managerの起動 の起動 1. [7-Zip File Manager] をダブルクリックします。 2. もし [Open File – Security Warning] ウインドウが表示されたら、[Run]ボタンを選択し ます。 HOL-1751-MBL-5-JA Page 161 HOL-1751-MBL-5-JA 7-Zip File Manager 7-Zip File Managerが起動し、Main Consoleのデスクトップ上でネイティブにインストールされ たアプリケーションのように実行されます。 1. 7-Zip File Managerを[X]をクリックして閉じます。 HOL-1751-MBL-5-JA Page 162 HOL-1751-MBL-5-JA Calculator(電卓 電卓)の起動 の起動 1. [Calculator] をダブルクリックします。 Calculatorは、Horizonの公開アプリケーションで、Workspace ONEと同期されています。 Horizon環境との同期によって、Workspace ONEはユーザーとグループの資格とデスクトップや 公開アプリケーションの完全なリストを取得することができます。Workspace ONEは、弊社 (VMware社)のクラウドサービスであるHorizon Airを含む複数のHorizon環境と同期することがで きます。これによって、ユーザーにすべてのHorizonのリソースにアクセスするための1つの中央の 場所を提供します。Horizonリソース(デスクトップまたは公開アプリケーション)を選択する と、VMware Horizon Viewクライアントは、(URLに似た)URIを受けてセッションを起動しま す。シングルサインオンは、ユーザーがログインする際に自分のWindows資格情報を入力する必要 がないように、SAMLやTrueSSOを通じて有効になっています。 起動が成功すると、CalculatorはローカルのWindowsアプリケーションと同じように開いて動作し ます。 2. [Calculator] の [X] をクリックして閉じます。 3. [VMware vCenter...] をダブルクリックします。 VMware vCenterのシングルサインオン のシングルサインオン VMware vCenterコンソールのアプリケーションは、Workspace ONEの標準的なWebアプリケー ションとして定義されています。Webアプリケーションを起動すると、新しいブラウザのタブがア プリケーションを起動するために開きます。これは、ユーザーが複数のアプリケーションを起動す る場合にナビゲートを容易にし、簡単にWorkspace ONEに戻ることができます。シングルサイン オンは、このアプリケーションで有効にされていないため、この例では、ユーザーがアプリケーシ HOL-1751-MBL-5-JA Page 163 HOL-1751-MBL-5-JA ョンを使用するには、有効な資格情報を入力する必要があります。良いユースケースは、端末とブ ラウザ間でのローミングやブックマークを気にすることがないように、イントラネットとユーザー の関心のある他のサイトへのリンクを提供することです。 1. [Workspace ONE]タブを選択します。 Windows 10 x64 デスクトップの起動 [Windows 10 x64…] をダブルクリックします。 Windows 10 x64 デスクトップ 電卓を起動すると同様に、VMware Identity Managerは、デスクトップセッションを起動するた めに、Main ConsoleのローカルにインストールされたHorizonクライアントにURIを送りました。 HOL-1751-MBL-5-JA Page 164 HOL-1751-MBL-5-JA SAMLトークンは、ユーザーのデスクトップにシングルサインオンできるようにHorizon View ブロ ーカーに提供されました。 1. [Options] を選択します。 2. [Disconnect and Log Off] を選択します。 3. [OK] を選択します。 HOL-1751-MBL-5-JA Page 165 HOL-1751-MBL-5-JA Workspace ONEのサインアウト のサインアウト 1. [chief officer] を選択します。 2. [サインアウト] を選択します。 セキュリティ観点から、Workspace ONEは、ユーザーにとって中央の場所からすべてのアプリケ ーションを簡単に起動できるようになります。また、複数の資格情報を覚えておく必要がありませ ん。 ITは、単一のアプリケーションや環境全体へのアクセスを簡単に削除することができます。 HOL-1751-MBL-5-JA Page 166 HOL-1751-MBL-5-JA Conclusion Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online. Lab SKU: HOL-1751-MBL-5-JA Version: 20161106-053955 HOL-1751-MBL-5-JA Page 167
© Copyright 2025 ExpyDoc