HOL-1751-MBL-5 - VMware Hands

HOL-1751-MBL-5-JA
Table of Contents
ラボ概要 - HOL-1751-MBL-5 - Horizon 7:エンドツーエンドセキュリティ ................................ 2
ラボガイダンス.......................................................................................................... 3
Control Center ブラウザ言語設定（日本語）......................................................................... 8
Firefox ブラウザ言語設定（日本語表示） .................................................................... 9
Google Chrome ブラウザ言語設定（日本語表示） ..................................................... 14
モジュール1 - Blast Extreme (30 分) ................................................................................. 21
イントロダクション ................................................................................................. 22
レッスン: Blast Extreme用のViewプール設定と接続テスト......................................... 24
モジュール 2 - アクセスポイント (30 分) ............................................................................. 37
イントロダクション ................................................................................................. 38
Access Point デプロイのトポロジ............................................................................. 39
Access Point のデプロイと構成 ................................................................................ 42
モジュール3‐Horizon7のSSL証明書（30 分） ...................................................................... 58
Horizon7 の SSL 証明書 - モジュールの説明 .............................................................. 59
Horizon7 の SSL 証明書の概要 ................................................................................. 60
Horizon Connection Server に対する SSL のセットアップ ........................................ 61
Horizon 5.1 以降での SSL 証明書のセキュリティの強化 ............................................. 62
Microsoft CA からの署名証明書を要求する ................................................................ 70
Horizon Administrator コンソールで署名された証明書が有用か確認 ........................... 95
Horizon Security Server – Microsoft CA で署名された証明書の要求 .......................... 98
モジュール 4 - Identity Manager (30 分) ......................................................................... 132
イントロダクション ............................................................................................... 133
Identity Manager セキュリティ ............................................................................. 135
Identity Manager ユーザー (Workspace ONE) ポータル ......................................... 153
HOL-1751-MBL-5-JA
Page 1
HOL-1751-MBL-5-JA
ラボ概要 - HOL-1751-MBL-5
- Horizon 7:エンドツーエンド
エンドツーエンド
セキュリティ
HOL-1751-MBL-5-JA
Page 2
HOL-1751-MBL-5-JA
ラボガイダンス
注：このラボを完了するのに約120分かかります。各モジュールには依存性がないため、どのモジ
ュールもモジュールの先頭から始めることができます。また、目次から選んだモジュールに飛ぶこ
ともできます。目次はラボマニュアルのi右上にあります。
Blast ExtremeはH.264を拡張したHorizon用のVMwareの最新のディスプレイプロトコルです。
アクセスポイントはvIDMおよびHoriozon View向けのセキュリティサーバに対してリバースプロ
キシ機能を提供します。
Horizonは複数のコンポーネント間およびユーザデバイスのセキュアな通信を確保するためにSSL
証明書を使います。
Identity ManagerはSSOの機能およびアプリケーションやデスクトップへの安全なアクセスをユー
ザに提供するのに加え、ユーザが必要に応じてアプリケーションやサービスを選択し、有効にする
セルフサービス機能を提供します。
ラボモジュールリスト:
• モジュール
モジュール1 - Blast Extreme (30分) (基礎) Horizon管理コンソールに入り、プールに
対しBlast Extremeを有効にすることでBlast Extremeを使った接続が利用できます。
• モジュール 2 - アクセスポイント (30分) (基礎) アクセスポイントの設定をすることでPod
に展開され、アクセスポイントを利用した有効なHorizonデスクトップへの接続を確立す
る。
• モジュール 3 - Horizon 7 SSL証明書 (30分) (アドバンス) 新規証明書リクエストを作
成、新規証明書をコネクションブローカーに展開し、適切な設定を有効化します。
• モジュール 4 - Identity Manager (30分) (アドバンス) 管理者としてIdentity Manager
のオプションを設定します。最後にユーザとして複数のアプリケーションを有効化し、展開
します。
ラボキャプテン
ラボキャプテン:
•
•
•
•
•
Brent McCoubrey, Staff Solutions Architect, Canada
Jack McMichael, Specialist Systems Engineer, United States
Peter Schraml, Senior Solutions Architect, Great Britain
Laurel Spadaro, Senior Systems Engineer, United States
Trevor Davis, Senior Systems Engineer, United States
このラボのマニュアルは下記のハンズオンラボドキュメントサイトからダウンロードすることがで
きます:
http://docs.hol.vmware.com
このラボは他の言語でも利用できます。言語設定を変更することでローカライズされたマニュアル
が展開されます。実行にあたり助けになる下記ドキュメントをご利用ください:
HOL-1751-MBL-5-JA
Page 3
HOL-1751-MBL-5-JA
http://docs.hol.vmware.com/announcements/nee-default-language.pdf
Location of the Main Console
1. The area in the RED box contains the Main Console. The Lab Manual is on the tab
to the Right of the Main Console.
2. A particular lab may have additional consoles found on separate tabs in the upper
left. You will be directed to open another specific console if needed.
3. Your lab starts with 90 minutes on the timer. The lab can not be saved. All your
work must be done during the lab session. But you can click the EXTEND to
increase your time. If you are at a VMware event, you can extend your lab time
twice, for up to 30 minutes. Each click gives you an additional 15 minutes.
Outside of VMware events, you can extend your lab time up to 9 hours and 30
minutes. Each click gives you an additional hour.
Alternate Methods of Keyboard Data Entry
During this module, you will input text into the Main Console. Besides directly typing it
in, there are two very helpful methods of entering data which make it easier to enter
complex data.
HOL-1751-MBL-5-JA
Page 4
HOL-1751-MBL-5-JA
Click and Drag Lab Manual Content Into Console Active
Window
You can also click and drag text and Command Line Interface (CLI) commands directly
from the Lab Manual into the active window in the Main Console.
Accessing the Online International Keyboard
You can also use the Online International Keyboard found in the Main Console.
1. Click on the Keyboard Icon found on the Windows Quick Launch Task Bar.
HOL-1751-MBL-5-JA
Page 5
HOL-1751-MBL-5-JA
Click once in active console window
In this example, you will use the Online Keyboard to enter the "@" sign used in email
addresses. The "@" sign is Shift-2 on US keyboard layouts.
1. Click once in the active console window.
2. Click on the Shift key.
Click on the @ key
1. Click on the "@" key.
Notice the @ sign entered in the active console window.
Activation Prompt or Watermark
When you first start your lab, you may notice a watermark on the desktop indicating
that Windows is not activated.
HOL-1751-MBL-5-JA
Page 6
HOL-1751-MBL-5-JA
One of the major benefits of virtualization is that virtual machines can be moved and
run on any platform. The Hands-on Labs utilizes this benefit and we are able to run the
labs out of multiple datacenters. However, these datacenters may not have identical
processors, which triggers a Microsoft activation check through the Internet.
Rest assured, VMware and the Hands-on Labs are in full compliance with Microsoft
licensing requirements. The lab that you are using is a self-contained pod and does not
have full access to the Internet, which is required for Windows to verify the activation.
Without full access to the Internet, this automated process fails and you see this
watermark.
This cosmetic issue has no effect on your lab.
Look at the lower right portion of the screen
Please check to see that your lab is finished all the startup routines and is ready for you
to start. If you see anything other than "Ready", please wait a few minutes. If after 5
minutes your lab has not changed to "Ready", please ask for assistance.
HOL-1751-MBL-5-JA
Page 7
HOL-1751-MBL-5-JA
Control Center ブラウザ言語
設定
設定（日本語
日本語）
HOL-1751-MBL-5-JA
Page 8
HOL-1751-MBL-5-JA
Firefox ブラウザ言語設定（日本語表示
日本語表示）
vSphere Web Clientはブラウザベースです。日本語表示するためには、ブラウザの言語設定を日
本語に設定します。
なお
なお、vSphere Web Client 以外の一部ツールでは英語表記となります
以外の一部ツールでは英語表記となります。これはハンズオンラボ
これはハンズオンラボ
環境特有のものです
環境特有のものです。
Firefoxの起動
の起動
Firefoxアイコンをクリックし、起動します。
HOL-1751-MBL-5-JA
Page 9
HOL-1751-MBL-5-JA
Firefoxブラウザの日本語化
ブラウザの日本語化
1. ウィンドウ右上のメニューを開きます。
2. [Options] をクリックします。
HOL-1751-MBL-5-JA
Page 10
HOL-1751-MBL-5-JA
Firefoxブラウザの日本語化
ブラウザの日本語化
左側メニューから [Content] を選択します。
Firefoxブラウザの日本語化
ブラウザの日本語化
[Languages] の [Choose...] をクリックします。
HOL-1751-MBL-5-JA
Page 11
HOL-1751-MBL-5-JA
Firefoxブラウザの日本語化
ブラウザの日本語化
[Select a language to add...] をクリックします。
HOL-1751-MBL-5-JA
Page 12
HOL-1751-MBL-5-JA
Firefoxブラウザの日本語化
ブラウザの日本語化
1. プルダウンから [Japanese [ja] ] を選択します。
2. [Add] をクリックします。
3. [OK] をクリックします。
4. Firefox を再起動します。
HOL-1751-MBL-5-JA
Page 13
HOL-1751-MBL-5-JA
Google Chrome ブラウザ言語設定
ブラウザ言語設定（日本語表
日本語表
示）
vSphere Web Client はブラウザベースです。日本語表示にする為には、ブラウザの言語設定を日
本語に設定します。
なお
なお、vSphere Web Client 以外の一部ツールでは英語表記となります
以外の一部ツールでは英語表記となります。これはハンズオンラボ
これはハンズオンラボ
環境特有のものです
環境特有のものです。
Google Chrome の起動
Google Chrome を起動します。
Google Chrome のメニューを開く
ブラウザウィンドウ右上のメニューを開きます。
HOL-1751-MBL-5-JA
Page 14
HOL-1751-MBL-5-JA
Google Chrome の設定画面を開く
[Settings] をクリックします。
HOL-1751-MBL-5-JA
Page 15
HOL-1751-MBL-5-JA
Google Chrome の詳細設定を表示
1. 画面を下へスクロールします。
2. [Show advanced settings...] をクリックします。
HOL-1751-MBL-5-JA
Page 16
HOL-1751-MBL-5-JA
Google Chrome の言語と入力の設定
画面を下へスクロールし、[Language and input setting...] をクリックします。
HOL-1751-MBL-5-JA
Page 17
HOL-1751-MBL-5-JA
Google Chrome の言語と入力の設定
[Add] をクリックします。
HOL-1751-MBL-5-JA
Page 18
HOL-1751-MBL-5-JA
Google Chrome の言語と入力の設定
1. プルダウンから [Japanese - 日本語] を選択します。
2. [OK] をクリックします。
HOL-1751-MBL-5-JA
Page 19
HOL-1751-MBL-5-JA
Google Chrome の言語と入力の設定
1. 左側 [Languages] 内の [Japanese] を一番上までドラッグで移動させます。
2. [Done] をクリックします。
3. Google Chrome ブラウザを再起動します。
HOL-1751-MBL-5-JA
Page 20
HOL-1751-MBL-5-JA
モジュール
モジュール1 - Blast Extreme
(30 分)
HOL-1751-MBL-5-JA
Page 21
HOL-1751-MBL-5-JA
イントロダクション
デジタルワークスペースの構築と最適化を目的として、VMwareは新しいBlast Extremeディスプ
レイテクノロジにより、さらなる選択肢と柔軟性をお客様に提供します。Blast Extremeは業界標
準のH.264プロトコルから作られており、H.264が利用できる多くの既存クライアントデバイスを
幅広くサポートしています。お客様はクライアントデバイスやユースケースに応じてBlast
Extreme, PCoIP, RDPを選ぶことができます。Blast ExtremeはPCoIPに対してもデバイスサポー
トに加え、固有のアドバンテージがあります。TCPおよびUDPネットワークの両方で有効です。ま
た、CPU消費が低く、デバイスのバッテリが長持ちします。これに加え、NVIDIA GRIDなどホスト
上のGPUベースのハードウェアアクセラレーションと組み合わせることで、非常に視覚的なビジュ
アルアプリケーションに対してグラフィックパフォーマンスを発揮するソリューションを提供しま
す。
VMware Blast Extreme機能
機能
VMware Blast Extremeの主要機能は下記となります:
- 企業ファイアーウォールの外にいるユーザは企業のVPN上でこのプロトコルを使い、企業DMZ上
のセキュリティサーバやアクセスポイントアプライアンスへの暗号化された通信で安全性を確保で
きます。
- AES 128-bit暗号化をデフォルトでサポートしています。また、AES-192やAES-256に変更する
こともできます。
- 全てのタイプのクライアントデバイスから接続
- LANおよびWANのネットワーク利用帯域削減のために最適化
- 仮想ディスプレイで32-bitカラーをサポート
- ClearTypeフォントをサポート
- LANおよびWANに対するダイナミック音質調整付きオーディオリダイレクション
- Webカメラやマイク利用のためのリアルタイムAudio-Video
- クライアントOSとリモートアプリケーション間でのテキストやイメージ（一部のクライアント）
のコピー＆ペーストのサポート。その他のクライアントはプレーンテキストのコピー＆ペーストの
みサポート。フォルダーやファイルなどのシステムオブジェクトはコピー＆ペーストできない
- いくつかのクライアントタイプでマルチモニタをサポート。一部で2560 x 1600レゾリューショ
ンの4モニターまたは4K(3840 x 2160)の3モニターをサポート(Windows7リモートデスクトップ
でAero無効の場合)。画面回転と自動フィットをサポート
3D機能が有効な場合、1920 x 1200レゾリューションの2モニターもしくは4K(3840 x 2160)の1
モニターをサポート
HOL-1751-MBL-5-JA
Page 22
HOL-1751-MBL-5-JA
- いくつかのクライアントタイプでUSBリダイレクションをサポート
- いくつかのWindowsクライアントOSとリモートデスクトップOS(Horizon Agent インストール
済み)でMMRリダイレクションをサポート
VMware Blast Extreme機能に関するクライアントデバイスサポートについての情報は下記を参照
https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html.
このモジュールは以下のレッスンが含まれています:
• レッスン1 - Blast Extreme向けViewプール設定
• レッスン:Blast Extreme用のViewプール設定と接続テスト
HOL-1751-MBL-5-JA
Page 23
HOL-1751-MBL-5-JA
レッスン
レッスン: Blast Extreme用の
用のViewプール設
プール設
定と接続テスト
このレッスンのねらい
1. Viewプールを設定し、ディスプレイプロトコルとしてVMware Blast Extremeを有効化する
2. ディスプレイプロトコルとしてVMware Blast Extremeを選択し、Horizon Viewクライアント
使用する
3. プロトコル選択を確認し、VMware Blast Extremeを使って仮想デスクトップに接続する
Google Chromeの起動
の起動
メインコンソールのデスクトップからGoogle Chromeをダブルクリックする
Horizon 7 Administrator の起動
Google Chromeのショートカットバーから
1. Horizon 7 フォルダをクリック
2. Horizon 7 Administrator – Aをクリック
HOL-1751-MBL-5-JA
Page 24
HOL-1751-MBL-5-JA
プライバシーに関する注意
ブローカーはデフォルトの自己署名証明書を使っているため、Google Chromeではプライバシー
ワーニングメッセージが表示されます。ワーニングメッセージが出ない場合は次のステップに進ん
でください。
1. Advanced をクリック
2. Proceed to h7cs-01a.corp.local をクリック
HOL-1751-MBL-5-JA
Page 25
HOL-1751-MBL-5-JA
Horizon 7 管理コンソールにログイン
下記のログイン情報を使ってHorizon 7 管理コンソールにログインします。
1.
2.
3.
4.
ユーザ名: administrator
パスワード: VMware1!
ドメイン: CORP
ログインをクリック
HOL-1751-MBL-5-JA
Page 26
HOL-1751-MBL-5-JA
デスクトッププール
インベントリ欄の
1. カタログを展開する
2. デスクトッププールを選択する
Win10x64 デスクトッププールを編集する
1. win10x64 プールを選択する
2. 編集… をクリックする
HOL-1751-MBL-5-JA
Page 27
HOL-1751-MBL-5-JA
デスクトッププール設定
1. デスクトッププールの設定タブを選択する
2. リモート表示プロトコル欄でPCoIPがデフォルトプロトコルとして選択されていることを確
認する。ここでは管理者はユーザに利用させたいプロトコルを選択することができる。
3. 選択矢印をクリックすると利用可能なプロトコルのリストが表示される。 VMware Blast
が表示されるのを確認し、選択する。これによりこのプールのデフォルトプロトコルが
PCoIPからVMware Blastとなる。この後のレッスンでデスクトップ接続プロトコルとし
て、どのプロトコルを選択したかを確認します。
4. キャンセルをクリックする
HOL-1751-MBL-5-JA
Page 28
HOL-1751-MBL-5-JA
Google Chrome を最小化する
1. Google Chrome を最小化します
VMware Horizonクライアントの起動
クライアントの起動
メインコンソールのデスクトップから VMware Horizon Client ショートカットをダブルクリック
する
h7cs-01a.corp.localを選択
を選択
h7cs-01a.corp.local をダブルクリックする
VMware Horizon環境にログイン
環境にログイン
cso でログインする
1. User name: cso
2. Password: VMware1!
3. Domain: CORP
HOL-1751-MBL-5-JA
Page 29
HOL-1751-MBL-5-JA
4. Loginをクリックする
HOL-1751-MBL-5-JA
Page 30
HOL-1751-MBL-5-JA
ディスプレイプロトコルの選択
この時点でユーザが利用したいディスプレイプロトコルを選択できます。これは、対象のプールに
対してプール設定で許可しているためです。以下、ディスプレイプロトコルを選択します。
1. Windows 10x64 Desktop プールを右クリック
2. 選択できるオプションが表示されます。PCoIPがデフォルトに設定されていることを確認し
ます（前のステップでViewプールに設定したようになっている）
3. VMware Blast を選択する
HOL-1751-MBL-5-JA
Page 31
HOL-1751-MBL-5-JA
VMware Blastを使ってデスクトップに接続
を使ってデスクトップに接続
VMware Blastをディスプレイプロトコルとして選択しました。続けてデスクトップに接続しま
す。
1. Windows 10x64 Desktop を再度右クリックする
2. 現在 VMware Blast がプロトコルとして選択されていることを確認する
3. Launch をクリック
HOL-1751-MBL-5-JA
Page 32
HOL-1751-MBL-5-JA
VMware Blastを使用したデスクトップ接続
を使用したデスクトップ接続
今、VMware Blast Extremeを使ってWindows 10デスクトップに接続しました。前にも説明しま
したが、VMware Blast ExtremeはPCoIPと機能的に同等で、TCPやUDP通信の両方で使えるなど
の追加の利点を持っています。
1. デスクトップ接続を最小化します
View管理コンソールの最大化
管理コンソールの最大化
メインコンソールのタスクバーから、View Administrator のコンソールを最大化します。
HOL-1751-MBL-5-JA
Page 33
HOL-1751-MBL-5-JA
Horizon Administrator コンソールデータのリフレッシュ
Horizon 管理コンソールの更新ボタンをクリック
有効なセッション
セッションに表示されている数字の 1 をクリック
HOL-1751-MBL-5-JA
Page 34
HOL-1751-MBL-5-JA
セッション情報
セッション情報のページには、セッションに関する情報が表示されます。ここで、VMware Blast
Extreme (BLAST) が使用されている事に注目してください。
1. コンソールからログアウトします。
Windows 10 x64 デスクトップセッションの最大化
Windows 10x64 Desktop タブをクリックして、デスクトップセッションを最大化してくださ
い。
HOL-1751-MBL-5-JA
Page 35
HOL-1751-MBL-5-JA
デスクトップセッションからログオフ
Horizon View ツールバー
1. Options を展開
2. Disconnect and Log Off を選択
3. OK をクリック
結論
デスクトッププールにある仮想デスクトップの表示プロトコルとして VMware Blast Extreme を
使用する設定が完了しました。これで仮想デスクトップは VMware Blast Extreme を使用して利
用できるようになります。
HOL-1751-MBL-5-JA
Page 36
HOL-1751-MBL-5-JA
モジュール 2 - アクセスポイン
ト (30 分)
HOL-1751-MBL-5-JA
Page 37
HOL-1751-MBL-5-JA
イントロダクション
Access Point は、利用権限のあるユーザがインターネット経由で接続するVMware エンド・ユー
ザー・コンピューティング・リソースに安全な遠隔アクセスを実現にするように設計された仮想ア
プライアンスです。Access Point はクラウドベースの Horizon Air かユーザのデータセンターに
設置された VMware Horizon オンプレミス環境のどちらかにあるアプリケーションやデスクトッ
プとの安全な接続性を提供します。Access Point は、View Security Server と同等の機能を提供
します。
Access Point 仮想アプライアンスは、DMZ にデプロイされ、利用権限のあるユーザがアプリケー
ションやデスクトップにアクセスするために、データセンタ内に入るトラフィックを保証します。
また、Access Point 仮想アプライアンスは利用権限のあるユーザのためのトラフィックを、その利
用資格のあるデスクトップやアプリケーションリソースにのみ、直接通信させることを保証しま
す。この保護レベルは、特定のデスクトッププロトコルの検査とポリシーの変化やネットワーク・
アドレスと連携し、正確にアクセス制御することが可能です。
View Security サーバとの大きな違いは, 様々な利用用途がある Windows OS 上で動くのではな
く、Access Point は堅牢でロックダウンされた事前設定済みの Linux ベースの仮想マシン上に実
装されています。Access Point は、スケーラブルで、View Connection サーバと View Security
サーバをペアで使うという制限はありません。ユーザは、Access Point を経由して一つの View
Connection サーバに接続することや、ロードバランサを設置し、その後ろに複数の View
Connection サーバを構成することで可用性を高めることができます。また Access Point は、
Horizon Client とバックエンドにある View Connection サーバ間を仲裁する働きもします。そし
て Access Point は、スケールアップやスケールダウンが可能で、迅速にデプロイすることが可能
なので、急速に変化する企業の要求に応えることができるようになっています。
HOL-1751-MBL-5-JA
Page 38
HOL-1751-MBL-5-JA
Access Point デプロイのトポロジ
Access Point は複数のトポロジにデプロイすることができます。DMZ にある Access Point アプ
ライアンスは VMware Horizon サーバーや VMware Horizon サーバ群の前に設置されたロードバ
ランサに対して構成されます。Access Point アプライアンスは標準的な HTTPS 対応のサードパー
ティロードバランサー製品群と協調して動作します。また、Access Point は複数のネットワークイ
ンタフェース (NIC) でトラフィックを切り離すように構成することもできます。
外部、内部、及び管理トラフィックの全ては、別々のサブネットに接続された、それぞれ個別の
NIC を持ちます。Access Point は VMware Identity Manager のリバースプロキシとしても機能
します。
HOL-1751-MBL-5-JA
Page 39
HOL-1751-MBL-5-JA
Access Point アプライアンスとロードバランサー
Access Point アプライアンスが VMware Horizon サーバーの前にあるロードバランサーと接続さ
れる場合、VMware Horizon サーバーインスタンスの選択は動的に行われます。例えば、ロードバ
ランサーは各 VMware Horizon サーバインスタンスが処理しているセッション数と有効性を考慮
し、どのサーバーに接続するかを選択します。ユーザーは内部ネットワーク上にある VMware
Horizon ブローカー向けのロードバランストラフィックを処理するのと同じロードバランサーに接
続されている Access Point を利用する事ができます。
Access Point アプライアンスに直接接続された VMware Horizon
Connection ブローカー
ユーザーは、個別の VMware Horizon Connection ブローカに接続された Access Point アプライ
アンスも持つ事ができます。Access Point アプライアンスを使用すれば、外部接続のために必要と
HOL-1751-MBL-5-JA
Page 40
HOL-1751-MBL-5-JA
なるペアや個別のブローカは不要です。Access Point は VMware Horizon Connection ブローカ
ーと通信するために HTTPS を使用します。Security サーバーの時のように JMS、IPsec や AJP13
は必要ありません。
HOL-1751-MBL-5-JA
Page 41
HOL-1751-MBL-5-JA
Access Point のデプロイと構成
Access Point は Deploy OVF テンプレートウィザードを使ってデプロイすることができます。管
理者はデプロイ作業のために vCenter にログインする必要があります。また vCenter にログイン
しなくてもコマンドラインの VMware OVF Tool を使ってアプライアンスをデプロイすることもで
きます。このツールを使うことで、管理者はデプロイウィザードにはない高度なプロパティを設定
することができます。Access Point がデプロイされる時、それらの後ろにある VMware
Connection サーバインスタンスが適切に構成されている必要があります。
Access Point アプライアンスをデプロイした後に構成の変更や追加をする場合は、管理者は
Access Point REST API を使用するか、異なった設定で再度アプライアンスをデプロイすることが
できます。Access Point REST API の仕様は、下記 URL から参照することができます:
https://access-point-appliance.example.com:9443/rest/swagger.yaml
Access Point の構成のレビュー
メインコンソールデスクトップにある Google Chrome をダブルクリック
HOL-1751-MBL-5-JA
Page 42
HOL-1751-MBL-5-JA
vCenter へのログイン
１． RegionA vCenter をクリック
２． Windows セッション認証を使用してくださいを選択
３．ログインをクリック
HOL-1751-MBL-5-JA
Page 43
HOL-1751-MBL-5-JA
ホストおよびクラスタ
ホストおよびクラスタをクリック
HOL-1751-MBL-5-JA
Page 44
HOL-1751-MBL-5-JA
AP-01a の選択
RegionA10 データセンタと RegionA01-COMP01 クラスタを展開
1. AP-01a を右クリック
2. 設定の編集… を選択
HOL-1751-MBL-5-JA
Page 45
HOL-1751-MBL-5-JA
vApp オプション
1. vApp オプションを選択
多くの設定項目が確認できるはずです。
2. 矢印をクリックし、Horizon Properties ページを展開
Horizon Properties
多くの設定項目がありますが、これらの設定項目は Access Point のインストール時に設定されま
す。これらの多くの設定項目は Security サーバで使われていたものと似ています。一つ異なる点
HOL-1751-MBL-5-JA
Page 46
HOL-1751-MBL-5-JA
は Blast ゲートウェイに関するものです。このゲートウェイは現在 443 番ポートで待機してい
て、Security Server で使われていた 8443 は使用されません。
1. キャンセルをクリックし次に進む
新規タブ
Google Chrome の新規タブをオープン
HOL-1751-MBL-5-JA
Page 47
HOL-1751-MBL-5-JA
Horizon View 管理コンソールの起動
新規タブの
1. Horizon 7 フォルダを選択
2. Horizon 7 Administrator –A リンクをクリック
HOL-1751-MBL-5-JA
Page 48
HOL-1751-MBL-5-JA
Horizon View 管理コンソールへのログイン
下記の情報を使い Horizon 7 管理コンソールにログイン
1.
2.
3.
4.
ユーザー名： administrator
パスワード： VMware1!
ドメイン：CORP
ログインをクリック
HOL-1751-MBL-5-JA
Page 49
HOL-1751-MBL-5-JA
コネクションサーバーの構成
Horizon 7 管理コンソールにログインした状態
1. 矢印をクリックして View 構成を展開
2. サーバをクリック
3. 接続サーバタブを選択
4. 接続サーバのリストから H7CS-01A を選択
5. 編集… をクリック
HOL-1751-MBL-5-JA
Page 50
HOL-1751-MBL-5-JA
接続サーバの構成
Access Point を使用する場合は、Access Point は PCoIP と Blast ゲートウェイのための全ての
設定を含みます。よって、Connection ブローカのチェックボックスにチェックが入っていた場
合、それら全てを外す必要があります。
1. キャンセルをクリックして次に進む
HOL-1751-MBL-5-JA
Page 51
HOL-1751-MBL-5-JA
Google Chrome の最小化
1. Google Chrome を最小化
VMware Horizon Client の起動
メインコンソールデスクトップにある VMware Horizon Client をダブルクリック
ap-01a.corp.local の選択
ap-01a.corp.local をダブルクリック
VMware Horizon Client へのログイン
次の認証情報を使用してログインします。
1.
2.
3.
4.
User name： cso
Password： VMware1!
ドメイン： CORP
[ログイン] をクリックします。
HOL-1751-MBL-5-JA
Page 52
HOL-1751-MBL-5-JA
注：もしログイン画面が表示されない場合は、Access Pointの仮想アプライアンスの（数ステップ
前の）再起動処理が完了していない可能性があります。もし表示されない場合は、数分お待ちの
上、再度お試しください。
Windows 10 x64 Desktop セッションを起動
Windows 10 x64 Desktop をダブルクリックしてセッションを開始します
HOL-1751-MBL-5-JA
Page 53
HOL-1751-MBL-5-JA
Access Pointへの接続を検証
への接続を検証
1. スタートメニューを右クリックします。
2. [Run]を選択します。
3. 「cmd」を入力します。
4. [OK]をクリックします。
HOL-1751-MBL-5-JA
Page 54
HOL-1751-MBL-5-JA
HOL-1751-MBL-5-JA
Page 55
HOL-1751-MBL-5-JA
設定情報を表示
DOSプロンプトにて、「set」を入力し <Enter> キーを押します。
View Client の設定情報を確認する
1. View Client の設定情報のリストをスクロールアップします。
2. Access Point を通して接続する Windows 10 x64 へアクセスしている以下のエントリを
確認します。
ViewClient_Broker_GatewayLocation=External
ViewClient_Broker_GatewayType=AP
HOL-1751-MBL-5-JA
Page 56
HOL-1751-MBL-5-JA
Windows 10 x64 デスクトップセッションからログオフ
VMware Horizon Clientのツールバーから以下の通り行います。
1. [Option] をクリックします。
2. [Disconnect and Log Off] を選択します。
3. [OK] をクリックします。
HOL-1751-MBL-5-JA
Page 57
HOL-1751-MBL-5-JA
モジュール
モジュール3‐Horizon7の
のSSL
証明書
証明書（30 分）
HOL-1751-MBL-5-JA
Page 58
HOL-1751-MBL-5-JA
Horizon7 の SSL 証明書 - モジュールの説明
このモジュールでは、 VMware Horizon 7 が SSL 証明をいかに利用するか、またどのようにして
必要な証明書を作成し、サインし、インストールするかを学びます。
モジュールの長さ
本モジュール完了までの目安は30分です。
HOL-1751-MBL-5-JA
Page 59
HOL-1751-MBL-5-JA
Horizon7 の SSL 証明書の概要
VMware Horizonでは、Horizon コンポーネント間の全ての通信チャネルはSSL 認証メカニズムを
用いて安全に保護されています。Horizon 5.1 に始まり、アップグレードもしくは新規インストー
ルを経て、以前のバージョンよりもSSL 証明書に関して、よりセキュリティ性が高くなっているこ
とがわかることでしょう。環境に Horizon サーバをインストールした時点で、各サーバにはデフォ
ルトの自己署名証明書が含まれています。自己署名証明書は、証明書機関ではなくサーバ自体によ
り発行されています。サーバはその証明書で識別および検証するため、結果的に信頼できない証明
書になります。信頼されないサーバ証明書には、クライアントとサーバの間でトラフィックが傍受
されるリスクがあるため、自己署名証明書はセキュリティのレベルが非常に低くなります。認証さ
れていないサーバがトランザクションの内部に入り、組織内のサーバと同じ IP アドレスに応答した
場合、管理者側には、自己署名証明書から生成されるオリジナルの警告以外の追加の警告は受信さ
れません。
自己署名証明書はテスト環境用として許容されますが、本番環境用としてはセキュリティが十分で
はありません。
VMware Horizon では、証明書が証明書機関により署名されていない場合にユーザーと管理者に警
告することで、デフォルトの自己署名証明書を簡単には使用できないようにしています。セキュリ
ティで保護された本番環境を実現するには、証明書機関（CA）により署名されている SSL 証明書
をインストールする必要があります。CA により署名されている SSL 証明書は、改ざん、傍受、
「中間者」（MITM）攻撃から通信を保護します。これら証明書は、パスワードや PIN などの個人情
報を受け渡す Horizon Clientと Horizon サーバ間において、安全なチャネルを提供します。
Horizon サーバとともにインストールされるデフォルトの自己署名証明書を使用すると、Horizon
サーバと Horizon Client間の通信が危険にさらされる可能性があります。
HOL-1751-MBL-5-JA
Page 60
HOL-1751-MBL-5-JA
Horizon Connection Server に対する SSL
のセットアップ
次のステップでは、公開キーセキュリティプログラム用の証明書を発行する、組み込みの
Microsoft Active Directory 証明書サービスを使用して、SSL 証明書が含まれる Horizon
Connection Server を構成します。
Microsoft Certificate Authority
corp.local ドメイン用の証明書を発行するために、Microsoft Certificate Authority サービスがす
でにインストールされ、構成されています。
あなたの所属する組織では、MCA またはサードパーティの署名機関を使用する可能性があります。
『Active Directory 証明書サービスの概要』は次の場所にあります:
http://technet.microsoft.com/en-us/library/hh831740.aspx
HOL-1751-MBL-5-JA
Page 61
HOL-1751-MBL-5-JA
Horizon 5.1 以降での SSL 証明書のセキュリ
ティの強化
Horizon サーバの証明書が署名されていない場合にユーザーに表示され
る警告
Horizon サーバの証明書が証明書機関により署名されていない場合にユーザーに表示される警告
Horizon Client には、Horizon サーバを完全に検証できない場合には警告を表示し、証明書を確認
するための改良されたメカニズムが含まれています。すべての Horizon サーバはデフォルトの自己
署名証明書とともにインストールされます。Horizon 5.1 以降のデフォルトでは、デフォルトの証
明書を CA により署名された証明書にアップグレードしないと、ユーザーには警告が表示されるよ
うになっています。
新しいVMware Horizon ClientではHTTPS（HTTP over SSL）での通信のみに限定ができます。
HTTP通信はもはや許可されません。全てのVMware Horizon Clientの通信は暗号化されます。
HOL-1751-MBL-5-JA
Page 62
HOL-1751-MBL-5-JA
高度な VMware Horizon コンポーネントの証明書の確認
Horizon Administrator ダッシュボードに表示される高度な Horizon コンポーネントの証明書チ
ェック
VMware Horizon では、接続されているコンポーネントを確認するためにより高度な証明書チェッ
クを実行しています。Horizon Administrator ダッシュボードでは、信頼される CA （信頼される
証明機関ストアに存在する CA）によって署名されている証明書が含まれない Horizon サーバの横
に、赤い警告の記号が表示されます。
Windows 証明書ストアのサポート
Windows 証明書ストアのサポート
Horizon では、Horizon コンポーネントに関する証明書を管理するために、Windows 証明書スト
アのみをサポートします。Horizon では、JKS および PKCS 証明書ストア、もしくは複雑な Java
Keytool や証明書要求を生成したり、生成された署名書をキーストアにインポートして戻すコマン
ドラインツールを用いるキーストアを使用できました。Windows管理者はWindowsの従来のツー
ルに比べ、これらのツールには慣れていませんでしたが、現在は、Microsoft 管理コンソール
（MMC）の証明書スナップインを使用して、証明書を取得してインポートするプロセスの一部を
実行できるようになりました。Windows 証明書ストアは、サーバとデスクトップ両方の Windows
オペレーションによりデフォルトでインストールされ、また管理者にとって使い慣れた証明書管理
インターフェイスです。
このように Windows 証明書ストアを使用するよう変更されたため、証明書の秘密キーの保護を向
上させることができます。ほかの証明書ストアを使用していた場合、キーファイルの暗号化パスワ
ードはテキストファイルで保存されていました。また、Windows 証明書ストアにより、SSL サー
バ証明書を管理するプロセスが簡素化され、精度が高くなっています。CSR を生成し、キーストア
HOL-1751-MBL-5-JA
Page 63
HOL-1751-MBL-5-JA
を作成し、キーストアに証明書をインポートする際の、以前の Java Keytool の方式は、より複雑
な方式でした。
Horizonサーバに必要な
サーバに必要なSSL証明書
証明書
次の Horizon のコンポーネントには SSL 証明書が必要です。
•
•
•
•
•
Horizon Connection サーバ
Horizon セキュリティサーバ
Horizon Composer サーバ
Horizon Client からの SSL 接続を終了する中間サーバ
vCenter Server
HOL-1751-MBL-5-JA
Page 64
HOL-1751-MBL-5-JA
証明書の種類
証明書の署名要求で、1 台のサーバもしくは複数サーバ分の証明書を要請できます。
1 台のサーバの証明書：指定された 1 台のサーバ用の証明書を受信します。このサーバには、
Horizon Connection Server とロードバランサのいずれかを使用できます。Horizon Client は、
Connection Server またはロードバランサへの 1 つの URL を使用してデスクトップにアクセス
します。
複数サーバの証明書：複数サーバの証明書には、SAN 証明書とワイルドカード証明書の 2 つの一
般的な種類があります。
Subject alternative name （SAN）証明書：次の形式の、1 つの名前に有効な証明書を受信し
ます。
• desktops.<自社名>.com
この種類の証明書を要求する場合は、次のように、この証明書に許可する代替サーバの URL を指
定します。
• vcs1.<自社名>.com
• vcs2.<自社名>.com
• vcs3.<自社名>.com
指定した複数の Horizon サーバ上のそれぞれに、同じ SAN 証明書を配置できます。
SAN 証明書は認定する可能性があるサーバを事前に指定するため、ワイルドカード証明書よりもセ
キュリティ性が高いですが、SAN 証明書は拡張性が低いため、ワイルドカード証明書よりも安価で
す。
ワイルドカード証明書：組織のドメイン内のすべてのサーバに対する証明書を受信します。*.<自
社名>.com
このワイルドカード証明書は、環境における 1 つのドメインレベル内の任意のサーバに使用できま
す。たとえば、*.<自社名>.com 証明書は、サブドメイン:
• <部門名>.<自社名>.com
に使用できますが、
• <部門名>.it.<自社名>.com には使用できません。
ワイルドカード証明書は最も柔軟性の高い種類の証明書であるため、最も高価です。ただし、認定
するサーバを事前に指定する必要がないため、ワールドカード証明書は SAN 証明書よりもセキュ
HOL-1751-MBL-5-JA
Page 65
HOL-1751-MBL-5-JA
リティが低いとみなされます。管理者は、ドメイン内の任意のサーバにこの証明書を配置できま
す。また、ワイルドカード証明書を使用すると、セキュリティ侵害が発生した場合に多くの部分が
被害に曝されます。
Horizon Administrator コンソールでの自己署名証明書の確認
このセクションでは、デフォルトの自己署名証明書が Horizon Connection Server に使用されて
いることを確認します。
VMware Horizon Administrator コンソールにログインする
メインコンソールのデスクトップにある Google Chrome をダブルクリックします
VMware Horizon Administrator コンソールにログインする
1. [Horizon 7] フォルダをクリックします。
2. [Horizon 7 Administrator – A] を選択します。
プライバシーエラー
自己証明書を利用しているため、プライバシーエラーのメッセージが表示されます。
HOL-1751-MBL-5-JA
Page 66
HOL-1751-MBL-5-JA
1. [Advanced] をクリックします。
2. [Proceed to h7cs-01a.corp.local (unsafe)] をクリックします。
HOL-1751-MBL-5-JA
Page 67
HOL-1751-MBL-5-JA
Horizon Administrator コンソールへのログイン
以下の認証情報を利用してログインします。
1.
2.
3.
4.
ユーザ名：Administrator
パスワード：VMware1!
ドメイン：CORP
[ログイン] をクリックします。
信頼されていない証明書
• [システムの健全性] ペインの [接続サーバ] に赤い四角のフラグが設定されていることに注
目します。
HOL-1751-MBL-5-JA
Page 68
HOL-1751-MBL-5-JA
• [接続サーバ] を展開し、[H7CS-01A] をクリックします。
• 信頼されない自己署名証明書が使用中であることが確認できるはずです。
• [OK] をクリックして、[接続サーバの詳細] ペインを閉じます。
Google Chromeを閉じる
を閉じる
• × ボタンをクリックし、ブラウザを閉じます。
• 有効な証明書をインストールした後、 Windows を再起動する必要があります
HOL-1751-MBL-5-JA
Page 69
HOL-1751-MBL-5-JA
Microsoft CA からの署名証明書を要求する
このセクションでは、 Microsoft Certificate Authority から新しい証明書を要求します。
Active Directory サービスの再起動
注：この実習ラボでは、ラボ環境の都合上、次のステップが必要になります。これは、このモジュ
ールでのみ必要となるステップです。
1. メインコンソールのデスクトップにいることを確認します。
2. [Start] をクリックします。
3. 「services.msc」と入力します。
HOL-1751-MBL-5-JA
Page 70
HOL-1751-MBL-5-JA
Active Directory Servicesの再起動
の再起動
1.
2.
3.
4.
5.
6.
[Services] ウィンドウで [Active Directory Certificate Services] を選択します。
[Restart] をクリックします。
次に [Active Directory Domain Services] を選択します。
[Restart] をクリックします。
[Yes] を選択して、ほかのサービスを再起動します。
サービスウィンドウを閉じ、次に進みます。
HOL-1751-MBL-5-JA
Page 71
HOL-1751-MBL-5-JA
Connection Server に RDP 接続
メインコンソールのデスクトップから、次の操作を行います。
1. [Start] をクリックします。
2. 検索ウィンドウに「mstsc /c」と入力します。
3. <Enter> キーを押します。
HOL-1751-MBL-5-JA
Page 72
HOL-1751-MBL-5-JA
RDP から Connection Server への接続
1. 「h7cs-01a.corp.local」と入力します。
2. [Connect] をクリックします。
認証情報の入力
1. ユーザー名： CORP\administrator
2. パスワード： VMware1!
3. [OK] をクリックします。
HOL-1751-MBL-5-JA
Page 73
HOL-1751-MBL-5-JA
Microsoft 管理コンソール（MMC）の起動
H7CS-01A デスクトップから、次の操作を行います。
1.
2.
3.
4.
[Start] アイコンを右クリックします。
[Run] を選択します。
mmc」と入力します。
[OK] をクリックします。
* 注意 *： ControlCenter 上ではなく、H7CS-01A へのリモートデスクトップセッション内から
MMC を起動していることを確認します。
HOL-1751-MBL-5-JA
Page 74
HOL-1751-MBL-5-JA
MMC：スナップインの追加
MMC に証明書スナップインを追加する必要があります。
HOL-1751-MBL-5-JA
Page 75
HOL-1751-MBL-5-JA
1. [File] を選択します。
2. [Add/Remove Snap-in] を選択します。
HOL-1751-MBL-5-JA
Page 76
HOL-1751-MBL-5-JA
証明書スナップインの追加
ローカル証明書を管理するには、スナップインをインストール / 有効化する必要があります。
1.
2.
3.
4.
[Certificates] をクリックします。
[Add] をクリックします。
[Computer account] をクリックします。
[Next] をクリックします。
HOL-1751-MBL-5-JA
Page 77
HOL-1751-MBL-5-JA
コンピュータの選択とスナップインのインストールの完了
1. [Local computer] をクリックします。
2. [Finish] をクリックします。
3. [OK] をクリックして [Snap-ins] ウィンドウを閉じます。
HOL-1751-MBL-5-JA
Page 78
HOL-1751-MBL-5-JA
自己署名証明書
1. [Certificates (Local Computer)] を展開します。
HOL-1751-MBL-5-JA
Page 79
HOL-1751-MBL-5-JA
2. [Personal] フォルダを展開します。
3. [Certificates] フォルダをクリックします。
4. Horizon Connection Server のインストール時に作成された既存の自己署名証明書を確認
します。証明書が自己署名である場合、通常は [Issued By] フィールドがローカルサーバ
と同じ名前になります（下図参照）。フレンドリ名が vdm であることを確認します（こ
の情報を見るにはウィンドウを拡大しなければならない場合があります）。フレンドリ名
は、使用するサーバ証明書を特定するために Horizon Connection Server によって使用さ
れます。
HOL-1751-MBL-5-JA
Page 80
HOL-1751-MBL-5-JA
既存の証明書の変更
1. 既存の証明書 h7cs-01a.corp.local を右クリックします。
2. [Properties] を選択します。
HOL-1751-MBL-5-JA
Page 81
HOL-1751-MBL-5-JA
フレンドリ名の値の変更
フレンドリ名 [vdm] を確認します。この値により、Horizon Connection Server で証明書を使用
できます。
1. フレンドリ名の値を「self-signed」に変更します。
2. [OK] をクリックします。
HOL-1751-MBL-5-JA
Page 82
HOL-1751-MBL-5-JA
新しい SSL 証明書の要求
証明書の登録を開始するには、次の操作を行います。
1. [Certificates] を右クリックします。
2. [All Tasks] を選択します。
3. [Request New Certificate...] を選択します。
HOL-1751-MBL-5-JA
Page 83
HOL-1751-MBL-5-JA
[Next] をクリック
[Next] をクリックして登録を開始します。
HOL-1751-MBL-5-JA
Page 84
HOL-1751-MBL-5-JA
証明書登録ポリシー
• [Active Directory Enrollment Policy] を選択します。
• [Next] をクリックします。
HOL-1751-MBL-5-JA
Page 85
HOL-1751-MBL-5-JA
証明書の要求
1. [Web Server] チェックボックスをオンにします。
2. [Web Server] チェックボックスの下の [More information is required to enroll this
certificate] のリンクをクリックします。
HOL-1751-MBL-5-JA
Page 86
HOL-1751-MBL-5-JA
証明書のプロパティ - [Subject]
証明書要求のプロパティの [Subject] タブで、次の操作を行います。
1. [Subject name] の [Type] を、ドロップダウンリストから [Common name] に変更しま
す。
2. [Value] フィールドに次のように入力してサーバ名を追加します： h7cs-01a.corp.local
3. [Add] をクリックします。
4. [Alternative name] の [Type] を、ドロップダウンリストから [DNS] に変更します。
5. [Value] フィールドに「h7cs-01a.corp.local」と入力して FQDN を追加します。
6. [Add] をクリックします。
7. [Apply] をクリックしますが、まだ [OK] はクリックしないでください。
HOL-1751-MBL-5-JA
Page 87
HOL-1751-MBL-5-JA
証明書のプロパティ - [General]
1. [General] タブを選択します。
2. [Friendly name] フィールドに「vdm」と入力して名前を追加します。
3. [Apply] をクリックしますが、まだ [OK] はクリックしないでください。
HOL-1751-MBL-5-JA
Page 88
HOL-1751-MBL-5-JA
証明書のプロパティ - [Private Key]
1.
2.
3.
4.
5.
[Private Key] タブをクリックします。
[Key Options] を展開します。
[Make private key exportable] チェックボックスをオンにします。
[Apply] をクリックします。
[OK] をクリックします。
HOL-1751-MBL-5-JA
Page 89
HOL-1751-MBL-5-JA
証明書の登録
[Enroll] をクリックして、CA から発行された証明書を適用します。
HOL-1751-MBL-5-JA
Page 90
HOL-1751-MBL-5-JA
証明書登録成功
• 次のような [Succeeded] メッセージが表示されるはずです。
• [Finish] をクリックします。
HOL-1751-MBL-5-JA
Page 91
HOL-1751-MBL-5-JA
新しく発行された SSL 証明書の確認
1.
2.
3.
4.
5.
6.
[Certificates （Local Computer）] を展開します。
[Personal] フォルダを展開します。
[Certificates] フォルダをクリックします。
新しい証明書が ControlCenter-CA から発行されていることを確認します。
確認が終了したら MMC を閉じます。RDP 接続は接続解除しないでください。
[No] を選択して、コンソール設定を保存します。
注： h7cs-01a.corp.local へのリモート接続を閉じないように注意してください。
Horizon Connection Server サービスの再起動
証明書の要求を完了し、VMware Horizon Connection Server 用の新しい証明書を追加したた
め、いくつかのサービスを再起動する必要があります。このプロセスにより、Connection Server
で新しい証明書が使用されます。
HOL-1751-MBL-5-JA
Page 92
HOL-1751-MBL-5-JA
Services Control パネルの起動
h7cs-01a.copr.local デスクトップ上で、
1.
2.
3.
4.
Windows のスタートボタンを右クリックします。
Runをクリックします。
services.mscと入力します。
OK をクリックします。
HOL-1751-MBL-5-JA
Page 93
HOL-1751-MBL-5-JA
Horizon Connection Server サービスの再起動
1. VMware Horizon View Connection Serverをクリックします。
2. Restart ボタンをクリックします。
必要な全ての VMware Horizon サービスが開始されている事を確認します。VMware Horizon
View Script Host サービスは開始している必要はありません。必要なサービスが Running になる
まで待ってから次へ進んでください。
h7cs-01a.corp.local リモートデスクトップセッションの最小化
RDP 接続を最小化します。
HOL-1751-MBL-5-JA
Page 94
HOL-1751-MBL-5-JA
Horizon Administrator コンソールで署名さ
れた証明書が有用か確認
Horizon Connection Server に新しい証明書が正しくインストールされて、使用されているか確
認します。
Google Chromeを起動
を起動
Main Console デスクトップで以下を実行します。
1. Google Chrome をダブルクリックします。
Horizon Administrator コンソールへの接続
1. Horizon 7 フォルダーをクリックします。
2. Horizon 7 Administrator - A を選択します。
3. VMware Horizon Connection Server への URL が緑色の鍵になっている事に注目してく
ださい。これは証明書が信頼されている事を意味しています。
Horizon Administrator コンソールへのログイン
以下の認証情報を使用し、Horizon Administrator コンソールへログインします。
1. ユーザー名: administrator
2. パスワード: VMware1!
3. ドメイン: CORP
HOL-1751-MBL-5-JA
Page 95
HOL-1751-MBL-5-JA
4. ログインをクリックします。
信頼された証明書
• システムの健全性パネルで、Connection Servers が緑色の四角いマークになっている点に
注目してください。
• 接続サーバの左側の ▼ をクリックし、"H7CS-01A" をクリックします。
• ステータスが「問題は検出されませんでした」、SSL証明書が「有効」になっている事が確認で
きます。
HOL-1751-MBL-5-JA
Page 96
HOL-1751-MBL-5-JA
Google Chrome を閉じる
• ブラウザの X をクリックして、Google Chrome を閉じます。
HOL-1751-MBL-5-JA
Page 97
HOL-1751-MBL-5-JA
Horizon Security Server – Microsoft CA
で署名された証明書の要求
このセクションは情報のみで、次のステップのラボ作業は用意されていません。
以下は、ドメインに参加していない Horizon Security Server が、CA署名された証明書で接続を
保証するためのプロセスの概略です。
このセクションでは、ドメインに参加していないウィンドウズサーバからマイクロソフト証明局に
新しい証明書を要求します。
Horizon Security Server の自己署名された証明書
Microsoft 管理コンソール (MMC) の起動
*注意事項
注意事項*: 情報のみでラボ作業はありません
情報のみでラボ作業はありません。
Security Server のデスクトップで以下を実行します。
1. Startアイコンをクリックします。
HOL-1751-MBL-5-JA
Page 98
HOL-1751-MBL-5-JA
2. MMC と入力します。
3. MMC アプリケーションを選択して起動します。
HOL-1751-MBL-5-JA
Page 99
HOL-1751-MBL-5-JA
MMC - スナップインの追加
*注意事項
注意事項*: 情報のみでラボ作業はありません
情報のみでラボ作業はありません。
MMCコンソールに証明書スナップインを追加する必要があります。
1. Fileを選択します。
2. Add/Remove Snap-inを選択します。
HOL-1751-MBL-5-JA
Page 100
HOL-1751-MBL-5-JA
Snap-in証明書スナップインの追加
証明書スナップインの追加
*注意事項
注意事項*: 情報のみでラボ作業はありません
情報のみでラボ作業はありません。
ローカルの証明書を管理するために、スナップインをインストールして有効化する必要がありま
す。
1.
2.
3.
4.
Certificatesをクリックします。
Addをクリックします。
Computer accountをクリックします。
Next をクリックします。
HOL-1751-MBL-5-JA
Page 101
HOL-1751-MBL-5-JA
コンピュータの選択とスナップインのインストールの完了
*注意事項
注意事項*: 情報のみでラボ作業はありません
情報のみでラボ作業はありません。
1. Local computerを選択します。
2. Finishをクリックします。
OKをクリックします。
HOL-1751-MBL-5-JA
Page 102
HOL-1751-MBL-5-JA
自己署名された証明書
*注意事項
注意事項*: 情報のみでラボ作業はありません
情報のみでラボ作業はありません。
1. Certificates (Local Computer) を広げます。
2. Personalフォルダーを広げます。
3. Certificatesフォルダーをクリックします。
Horizon Connection Server のインストールの際に作成された、既存の自己署名された証明書が
あります。
既存の証明書の修正
*注意事項
注意事項*: 情報のみでラボ作業はありません
情報のみでラボ作業はありません。
1. 既存の証明書 (HVCS-W8-02.corp.local) の上で、右クリックします。
2. Propertiesを選択します。
HOL-1751-MBL-5-JA
Page 103
HOL-1751-MBL-5-JA
フレンドリ名の変更
*注意事項
注意事項*: 情報のみでラボ作業はありません
情報のみでラボ作業はありません。
フレンドリ名 “vdm” は、Horizon Connection Server で使われる証明書を有効にするキーです。
1. Friendly nameの値を self-signed に変更します。
2. OKをクリックします。
HOL-1751-MBL-5-JA
Page 104
HOL-1751-MBL-5-JA
新しい
新しいSSL証明書の要求
証明書の要求
*注意事項
注意事項*: 情報のみでラボ作業はありません
情報のみでラボ作業はありません。
証明書の登録を始めます。
1.
2.
3.
4.
Certificatesを右クリックします。
All Tasks を選択します。
Advanced Operations を選択します。
Create Custom Request...を選択します。
HOL-1751-MBL-5-JA
Page 105
HOL-1751-MBL-5-JA
証明書の登録
*注意事項
注意事項*: 情報のみでラボ作業はありません
情報のみでラボ作業はありません。
Next をクリックして登録を開始します。
HOL-1751-MBL-5-JA
Page 106
HOL-1751-MBL-5-JA
証明書登録ポリシー
*注意事項
注意事項*: 情報のみでラボ作業はありません
情報のみでラボ作業はありません。
• Proceed without enrollment policyを選択します。
• Nextをクリックします、
HOL-1751-MBL-5-JA
Page 107
HOL-1751-MBL-5-JA
カスタム要求
*注意事項
注意事項*: 情報のみでラボ作業はありません
情報のみでラボ作業はありません。
1. Template で、ドロップダウンから(No template) Legacy Key を選択します。
2. Request format で、PKCS #10 を選択します。
HOL-1751-MBL-5-JA
Page 108
HOL-1751-MBL-5-JA
証明書情報 - カスタム要求
*注意事項
注意事項*: 情報のみでラボ作業はありません
情報のみでラボ作業はありません。
1. Details のドロップダウンをクリックします。
2. 要求を修正するために Properties をクリックします。
HOL-1751-MBL-5-JA
Page 109
HOL-1751-MBL-5-JA
証明書のプロパティ - 全般
*注意事項
注意事項*: 情報のみでラボ作業はありません
情報のみでラボ作業はありません。
1. General タブを選択します。
2. Friendly name フィールドに vdm と入力します。
3. OK ではなく、Apply をクリックします。
証明書のプロパティ
証明書のプロパティ- Subject
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
証明書要求のSubjectプロパティにて
1. “Subject Name”の”Type”を、ドロップダウンリストより”Common Name”に変更
2. “Value”フィールドにサーバー名を追加: （自分のサーバー名）HVSS-W8-02.corp.local
3. “Add”をクリック
HOL-1751-MBL-5-JA
Page 110
HOL-1751-MBL-5-JA
4. “Alternative Name”の”Type”を、ドロップダウンリストより”DNS”に変更
5. “Value”フィールドにFQDN名を追加: （自分のFQDN名）HVSS-W8-02.corp.local
6. “Add”をクリック
・5.?6.を繰り返し
・“Value”フィールドにホスト名を追加: （自分のホスト名）HVCS-W8-02
・“Add”をクリック
7. “Apply”をクリックします。まだ”OK”はクリックしないでください。
証明書のプロパティ
証明書のプロパティ- Extensions
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
証明書要求のSubjectプロパティにて
1. “Key Usage”オプションを展開します
HOL-1751-MBL-5-JA
Page 111
HOL-1751-MBL-5-JA
2. “Decipher Only“を選択します
3. “Add”をクリックします
4. “Apply”をクリックします。まだ”OK”はクリックしないでください。
HOL-1751-MBL-5-JA
Page 112
HOL-1751-MBL-5-JA
証明書のプロパティ
証明書のプロパティ- Private Key
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
1.
2.
3.
4.
5.
6.
7.
“Private Key”を選択します
“Key Options”を展開します
“Make private key exportable”をチェックします
“Key Type”を展開します
“Key Type”から”Exchange”を選択します
“Apply”をクリックします
“OK”をクリックします
HOL-1751-MBL-5-JA
Page 113
HOL-1751-MBL-5-JA
カスタムリクエストの作成
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
”Custom request”を完了するため、“Next”を選択します
HOL-1751-MBL-5-JA
Page 114
HOL-1751-MBL-5-JA
オフラインリクストの保存
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
1. 証明書の配置場所とファイル名を選択します。
2. ファイルフォーマットには”Base 64”を選択します。
3. Custome requestを完了するため、“Next”を選択します
HOL-1751-MBL-5-JA
Page 115
HOL-1751-MBL-5-JA
カスタムリクエストの
カスタムリクエストのWebエンロール
エンロール
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
IEを開き、認証局のエンロールサイトにアクセすします
1. http://controlcenter.corp.local/certsrv
2. 認証情報を入力します。
3. “OK”をクリックします。
HOL-1751-MBL-5-JA
Page 116
HOL-1751-MBL-5-JA
証明書要求のタスク
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
1. “Request a certificate”を選択します
HOL-1751-MBL-5-JA
Page 117
HOL-1751-MBL-5-JA
“Advanced Certificate Request”の提出
の提出
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
1. “advanced certificate request”を選択します
HOL-1751-MBL-5-JA
Page 118
HOL-1751-MBL-5-JA
PKCS #10の提出
の提出
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
1. “Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file or
submit a renewal request by using a base-64-encoded PKCS #7 file”を選択します
Custom Requestを開く
を開く
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
1. カスタムリクエストを含んだ証明書ファイルを選択します。
2. “Open with...”を選択し、NotepadもしくはWordpadでファイルを開きます
HOL-1751-MBL-5-JA
Page 119
HOL-1751-MBL-5-JA
証明書要求のハッシュ値のコピー
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
カスタムリクエストの全文を選択し、コピー（もしくは切り取り）します
HOL-1751-MBL-5-JA
Page 120
HOL-1751-MBL-5-JA
証明書要求のハッシュ値の送付
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
1. カスタムリクエストの中身を、このページの”Saved Request”のフィールドに貼り付けま
す
2. Certificate Templateを”Web Server”に変更します
3. “Submit”をクリックします
HOL-1751-MBL-5-JA
Page 121
HOL-1751-MBL-5-JA
署名された証明書チェーンのダウンロード
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
1. エンコードタイプを“Based 64 encoded”に変更します
2. “Download certificate chain”をクリックします
HOL-1751-MBL-5-JA
Page 122
HOL-1751-MBL-5-JA
署名された証明書の保存
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
1. 署名された証明書に名前をつけます
2. “Save as type”で “PKCS #7”を選択します
3. “Save”をクリックします
HOL-1751-MBL-5-JA
Page 123
HOL-1751-MBL-5-JA
署名された証明書のインポート
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
Security ServerがインストールされているマシンのMMC→証明書のスナップインにて実施します
1.
2.
3.
4.
5.
“Certificates”をクリックします
“Personal”フォルダーを展開します
“Certificates”フォルダーを右クリックします
“All Tasks”を選択します
“Import”を選択します
HOL-1751-MBL-5-JA
Page 124
HOL-1751-MBL-5-JA
証明書インポートウィザードの開始
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
“Next”をクリックします
HOL-1751-MBL-5-JA
Page 125
HOL-1751-MBL-5-JA
署名済み証明書チェーンファイルのインポート
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
1.
2.
3.
4.
5.
“Browse”をクリックします
“PKCS #7 Certificate”を選択します
証明書ファイルを選択します
“Open”をクリックします
“Next”をクリックします
HOL-1751-MBL-5-JA
Page 126
HOL-1751-MBL-5-JA
証明書ストア
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
1. “Default”もしくは”Personal”証明書ストアを選択します。
2. “Next”をクリックします
HOL-1751-MBL-5-JA
Page 127
HOL-1751-MBL-5-JA
インポートウィザードの完了
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
1. “Finish”をクリックします
2. 確認画面が表示されたら”OK”をクリックします
HOL-1751-MBL-5-JA
Page 128
HOL-1751-MBL-5-JA
ルート証明書の移動
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
1.
2.
3.
4.
“Certificates (Local Computer)”を展開します
“Personal”フォルダーを展開します
“Certificates”フォルダをクリックします
CAのルート証明書を”Trusted Root Certification Authority”配下の “Certificates”フォル
ダーにドラッグします
新規発行した
新規発行したSSL証明書の確認
証明書の確認
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
1. “Certificates (Local Computer)”を展開します
2. “Personal”フォルダーを展開します
3. “Certificates”フォルダーをクリックします
“ControlCenter-CA”から発行された証明書を確認します
4. 確認後、MMCを閉じます。RDPセッションはまだ切断しないでください
HOL-1751-MBL-5-JA
Page 129
HOL-1751-MBL-5-JA
“Horizon Security Serverサービスの再起動
サービスの再起動
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
Security Serverにて
1. “VMware Horizon View Security Server”サービスを再起動します
2. （もしBlastを使用している場合）”VMware Horizon View Blast Secure Gateway”サー
ビスを再起動します
HOL-1751-MBL-5-JA
Page 130
HOL-1751-MBL-5-JA
署名済み証明書が使用されているかを確認
*注意
注意*: 情報提供のみ
情報提供のみ。ラボでは実施しません
ラボでは実施しません
Security Serverの表示が緑色になっていること、Statusが”No problem detected”になっている
こと、SSL Certificateが”Valid”になっていることを確認します。
HOL-1751-MBL-5-JA
Page 131
HOL-1751-MBL-5-JA
モジュール 4 - Identity
Manager (30 分)
HOL-1751-MBL-5-JA
Page 132
HOL-1751-MBL-5-JA
イントロダクション
VMware Identity Managerはオンプレミスのディレクレトリインフラを拡張し、シームレスなシ
ングルサインオン（SSO）を提供するサービスです。ユーザーは共通のインターフェースを用い、
デバイスからWeb、モバイル、SaaS、VMware Horizon デスクトップ、アプリケーションならび
にレガシーアプリケーションにアクセスできます。VMware Identity Managerはサービスとして
利用(http://www.vmware.com/products/identity-manager/)することもでき、オンプレミス環
境にインストールすることもできます。Identity ManagerはAirWatch Enterprise Mobility
Management とも連動し、業界に依存しないモバイルアプリケーション向けのシームレスな
SSO、ならびにエンタープライズアプリストア、SAML Identity Provider (IDP)、アプリケーショ
ン利用分析、コンディショナルアクセスポリシー等の機能を実現します。
HOL-1751-MBL-5-JA
Page 133
HOL-1751-MBL-5-JA
VMware Identity Manager Components
現在多くの企業は少なくとも１つか２つのSaaSアプリを使用しています。通常は、アプリの機能を
所有する事業部門はアプリ提供の管理とユーザー管理を手作業で行います。せいぜい、IT担当者と
調整してヘルプデスクやチケット管理、新規ユーザーの登録削除やパスワードリセットをするぐら
いです。１つや２つのSaaSアプリならこれで良いかもしれないですが、多くの企業は第３、第４、
第５のアプリを展開し、対応するモバイル用アプリのためこれらの手作業は複雑を極めるようにな
ります。この複雑さがコンプライアンスとセキュリティーを脅かします。それは、どの従業員がど
のアプリのアクセス権を持っているか、どのデータが無管理で暗号化されていないデバイスに保存
されているかを、IT担当者は誰も確証が持てないからとなります。VMware Identity Manager と
AirWatch® Enterprise Mobility Management™ と共に使うと、アプリのタイプとデバイスのタ
イプにまたがってユーザーを管理する単一のインフラをITは手に入れることができます。
もう一つの好例は、 Exchange Online に移行して Exchange 環境を簡素化するため Office 365
の展開を計画している組織です。これらの組織は Office 365 アプリを無管理のデバイスに展開
し、さらにはネイティブのモバイル iOS、Android、Windows 10 Office アプリにも展開したいと
考えるかもしれません。Office 365が提供する利点を全て利用できるライセンスを既に受けている
かもしれませんが、Office 365は完全に別のAzure ADディレクトリを使用し、既存の複雑な
Active Directoryとの同期するのは困難を極めます。VMware Identity Managerは既存Active
Directoryと一体化し、単一の情報源を維持し、展開を早めることができます。
HOL-1751-MBL-5-JA
Page 134
HOL-1751-MBL-5-JA
Identity Manager セキュリティ
Identity Manager （Workspace ONEの一部）には、いくつかのセキュリティ・オプションが含
まれます。少し例を挙げると、ユーザー認証オプションからのレンジ、デバイスコンプライアンス
チェック、SSOするためのSAML連携、ウェブアプリへアクセスするためのポリシー管理などがあ
ります。このレッスンにおいて、セキュリティオプションのいくつかを確認し、組織の要求に適合
するセキュリティレベルを達成するための選択を提供する方法を学習します。
Google Chrome を起動する
メインコンソールから Google Chrome をダブルクリックします。
Workspace ONE の起動
Workspace ONE をクリックします。
HOL-1751-MBL-5-JA
Page 135
HOL-1751-MBL-5-JA
ドメインの選択
デフォルトで表示されるドメインを選択させられるかもしれません。もしプロンプトが表示されな
ければ、次のステップまで進行してください。
1. ドメインは corp.local を選択します。
2. Next をクリックします。
HOL-1751-MBL-5-JA
Page 136
HOL-1751-MBL-5-JA
管理者としてログイン
管理者としてログインします。
1. ユーザー名: administrator
2. パスワード: VMware1!
3. ログインをクリックします。
HOL-1751-MBL-5-JA
Page 137
HOL-1751-MBL-5-JA
管理コンソールを起動する
1. ドロップダウンをクリックします。
2. AdminConsole を選択します。
アイデンティティとアクセス管理
1. ID とアクセス管理を選択します。
2. ディレクトリを選択します。
Identity Manager は Active Directory 環境の corp.local と通信するように構成されています。
これにより、管理者は Identity Manager と同期されているユーザーとグループを選択することが
できます。ユーザーとグループが正常に同期されたら、管理者はそれらのユーザーにリソースを割
り当てることができます。組織は、 SSO のために統合 Windows 認証を活用する場合は、
Identity Manager のアプライアンスは、 Active Directory ドメインに参加させる必要がありま
す。
3. セットアップを選択します。
HOL-1751-MBL-5-JA
Page 138
HOL-1751-MBL-5-JA
ワーカー
vidm-01a.corp.local を選択します。
認証アダプタ
認証アダプタを選択します。
認証方法
Identity Managerは、認証のための複数のオプションを提供します。現在、
PasswordIdpAdapter は有効になっており、ユーザーポータルにアクセスするためにユーザーは
Active Directory のユーザー名とパスワードの入力を要求されます。マルチプルコネクタは、異な
る種類の認証アダプタを利用する事が可能です。例では、内部および外部の両方の接続をサポート
するために、 Identity Manager を使用しています。内部接続の場合は、Active Directory のユー
HOL-1751-MBL-5-JA
Page 139
HOL-1751-MBL-5-JA
ザー名とパスワードが十分です。しかし外部接続は、2要素認証を必要とするでしょう。
SecurIDIdpAdapterは、そのために使用することができます。
ネットワーク範囲をクリックします。
HOL-1751-MBL-5-JA
Page 140
HOL-1751-MBL-5-JA
ネットワーク範囲
すべての範囲と呼ばれるネットワーク範囲は、デフォルトで作成されます。このネットワークの範
囲は、0.0.0.0 から 255.255.255.255 までのインターネット上で利用可能なすべてのIPアドレス
が含まれます。展開の際、単一のアイデンティティプロバイダインスタンスを持っている場合で
も、 IP アドレスの範囲を変更し、デフォルトのネットワーク範囲に特定の IP アドレスを除外また
は含め、範囲を追加することができます。特定の目的のために適用することができ、特定のIPアド
レスと他のネットワークの範囲を作成することができます。ネットワークトポロジに基づいて、
VMware Identity Manager の展開のためにネットワークの範囲を定義します。
管理をクリックします。
ポリシー
ポリシーをクリックします。
HOL-1751-MBL-5-JA
Page 141
HOL-1751-MBL-5-JA
Default Access Policy Set
default_access_policy_set をクリックします。
ポリシールール
画面をスクロールさせ、グリーンのプラスアイコンを選択します。
HOL-1751-MBL-5-JA
Page 142
HOL-1751-MBL-5-JA
ポリシールールの追加
VMware Identity Manager のポリシーは、ユーザーが自分のアプリのポータルにアクセスした
り、指定したWebアプリケーションを起動するために、条件を指定するルールのセットです。管理
者は、ポリシーの一部としてルールを作成します。ポリシー内の各ルールは、次の情報を指定する
ことができます。
■　企業ネットワークの内部または外部などのユーザーがログインできるネットワーク範囲。
■　このポリシーによってアクセスが許可されるデバイスタイプ。
■　有効な認証方法が適用される順序。
■　認証の有効時間数。
■　カスタムのアクセス拒否メッセージ。
コンテンツアクセス
各ルールでは、ネットワークの範囲を指定することにより、ユーザーベースを決定します。ネット
ワーク範囲は、一つ以上のIP範囲から設定します。ルールが管理するデバイスの種類は、Webブラ
HOL-1751-MBL-5-JA
Page 143
HOL-1751-MBL-5-JA
ウザ、Identity Managerのクライアントアプリ、iOS、Android、Windows 10、Mac OS X およ
びすべてのデバイスタイプです。
コンテンツにアクセスできるデバイスタイプ、およびそのタイプのデバイスによるすべての認証リ
クエストでポリシールールを使用するように指定し、ルールを構成できます。
認証方法
ポリシールールの中で、認証方法を適用する順序を定めることができます。認証方法はリストに書
かれた順に適用されます。ポリシーに定められた認証方法とネットワーク範囲に合致する、最初の
アイデンティティ・プロバイダ（認証者）・インスタンスが選択され、ユーザー認証要求がアイデ
ンティティ・プロバイダ・インスタンスに認証のため転送されます。認証が失敗すると、リストに
ある次の認証法が選択されます。証明書認証を使う場合、この方法がリスト内の最初の認証法でな
ければなりません。
サインインする前に２つの認証法で資格情報を渡すことをユーザーに要求するよう、アクセスポリ
シールールを設定できます。片方または両方の認証法が失敗し、代替法が設定されているとき、ユ
ーザーは次の設定された認証法で資格情報を入力するよう求められます。以下の２つのシナリオ
で、この認証の連携がどのように働くかを記載しています。
■ 最初のシナリオでは、アクセスポリシールールはパスワードを使用して、Kerberos証明書でユ
ーザーに認証を要求するように設定されています。フォールバック認証は、認証のためのパスワー
ドとRADIUS証明書を要求するように設定されています。ユーザーは正しいパスワードを入力しま
すが、正しいKerberos認証資格情報を入力することができません。ユーザーが正しいパスワードを
入力したので、フォールバック認証要求はRADIUS証明書のみです。ユーザーはパスワードを再入
力する必要はありません。
■ 2番目のシナリオでは、アクセスポリシールールはユーザーへ自身のパスワードとKerberos 資
格情報を使用して認証を要求されるように構成されています。フォールバック認証は、 RSAの
SecurID および RADIUS を要求するように設定されています。ユーザーは正しいパスワードを入
HOL-1751-MBL-5-JA
Page 144
HOL-1751-MBL-5-JA
力しますが、正しいKerberos認証資格情報を入力することができません。フォールバック認証要求
は、RSA SecurID証明書およびRADIUS 証明書の両方を要求します。
続けるには Cancel をクリックします。
HOL-1751-MBL-5-JA
Page 145
HOL-1751-MBL-5-JA
カタログ
カタログを選択します。
カタログ
カタログは、ユーザーに割り当てることができるすべてのリソースのリポジトリとなります。リソ
ースには、HorizonアプリケーションやHorizonデスクトップへのアクセス資格は、Horizon環境か
ら取得するので、追加のセキュリティ設定は不要です。このため、ユーザーのアクセス制御を行う
際、別々のコンソールを利用して設定する必要がありません。
ThinAppのリソース割り当ては、ユーザー単位で行うことができます。ThinAppアプリケーション
のアクセス制御を設定する際に、Active Directoryのグループを指定しなくてもよくなるため、ア
プリケーションへのアクセス制御の設定をより柔軟に行うことが可能になります。Identity
Manager Desktop エージェントをThinAppパッケージが管理されるWindowsのエンドポイント
にインストールする必要があります。
VMware Identity Managerでは、クラウド上のWebアプリケーションへのアクセスもカタログに
含めることができます。クラウドアプリケーションのカタログ例としては、AWS、Box.Net、
Concur、Dropbox、O365、Salesforceなどが挙げられます。100近くのアプリケーションが含ま
れます。
さらに、VMware Identity Managerは、AirWatchインスタンスと統合することができ、統一化さ
れたカタログを作成することが可能です。
HOL-1751-MBL-5-JA
Page 146
HOL-1751-MBL-5-JA
カテゴリー機能を利用することによって、リソースをグループにまとめることができます。ユーザ
ーは特定のカテゴリーを選択することによって、カテゴリー内のアプリケーションリストを簡単に
表示させることができるようになります。
7-Zip 9.20 をクリックします。
HOL-1751-MBL-5-JA
Page 147
HOL-1751-MBL-5-JA
7-Zip アプリケーション情報
リソースへのアクセスは、Active Directoryグループまたはユーザーエンタイトルメントによって
制御されています。これを利用したい場合、ユーザーがカタログに移動しアプリケーションを有効
化する事でユーザーアクティベートされます。管理者は、ユーザーのポータルに直接アプリケーシ
ョンのリンクをプッシュし、その設定を自動的に変更することができます。
Catalog を選択します。
HOL-1751-MBL-5-JA
Page 148
HOL-1751-MBL-5-JA
Calculator を選択
Calculator を選択します。
HOL-1751-MBL-5-JA
Page 149
HOL-1751-MBL-5-JA
Calculator
アプリケーションとデスクトップが有効化された Horizon が Identity Manager と同期している
場合、ユーザーとグループの資格も取得されます。これがグループまたは個々の資格を変更するオ
プションがない理由です。変更が行われる必要がある場合は、VMware Horizon Administrator コ
ンソール経由でそれらを行う必要があり、次の同期サイクル時に Identity Manager で変更されま
す。
officer, chief ([email protected]) を選択します。
HOL-1751-MBL-5-JA
Page 150
HOL-1751-MBL-5-JA
CSO の資格
Identity Managerの中でユーザーにどのような資格があるかについて、確認することもできます。
画面では、CSOユーザーがウェブ・アプリやHorizonデスクトップ、RDSアプリケーション、
ThinApp パッケージへのアクセス権が付与されていることを確認できます。
admin admin を選択します。
HOL-1751-MBL-5-JA
Page 151
HOL-1751-MBL-5-JA
管理コンソールからのログアウト
1. [ログアウト] を選択します。
2. [Workspace ONE] タブを閉じます。
これでIdentity Manager Securityに関するレッスンの終了となります。
HOL-1751-MBL-5-JA
Page 152
HOL-1751-MBL-5-JA
Identity Manager ユーザー (Workspace
ONE) ポータル
モバイルクラウド時代、多くの場合にITは会社所有ではないデバイスを利用しているモバイルのユ
ーザーを管理してサポートしなければなりません。ユーザーの生産性のために、アプリケーション
やデータにアクセスする方法に一貫性がなければなりません。どこからでもあっても、複数のユー
ザーアカウント、パスワード、およびその他の複雑な認証方法の複雑さなしに"ただ仕事"できるこ
とが必要です。
シングルサインオンにより、仕事に使用する多くのアプリケーションやシステムにアクセスするた
めの複数のユーザー名やパスワードを覚えておく必要がなくなります。サービスデスクへの問い合
わせの手間と費用の削減だけでなく、ユーザーの識別情報の統合は、アプリケーションへのアクセ
スを一箇所で無効にして、従業員の離職の際のデータ漏洩から保護します。VMware Identity
Manager（Workspace ONEとしても呼ばれる）は、アイデンティティプロバイダ（IDP）または
トークンジェネレーターを含みますが、どんなデバイスの種類でも利用可能な1つの便利なカタロ
グとランチャにシングルサインオンアプリケーションを集約する場所であってもよく、既存のアイ
デンティティプロバイダと統合することができます。
HOL-1751-MBL-5-JA
Page 153
HOL-1751-MBL-5-JA
Identity Manager Desktop アプリケーションの起動
Identity Manager Desktop アプリケーションは、ThinAppアプリケーションを管理し、端末に展
開できるようにしたい場合に必要です。デフォルトでは、セッションにユーザーがログインしたと
きにアプリケーションが自動的に起動しますが、このラボでは学習のために手動で行うように構成
しています。
1. [Windowsのスタートメニュー] を選択します。
2. [All Programs] を選択します。
3. [VMware] > [Identity Manager Desktop] フォルダにある [Identity Manager
Desktop] を選択します。
HOL-1751-MBL-5-JA
Page 154
HOL-1751-MBL-5-JA
HOL-1751-MBL-5-JA
Page 155
HOL-1751-MBL-5-JA
Identity Manager Desktopへのログイン
へのログイン
CSOとしてログインします。
1. ユーザー名： cso
2. パスワード： VMware1!
3. [Sign in] を選択します。
Main Consoleで
でGoogle Chromeの起動
の起動
Main ConsoleでGoogle Chromeをダブルクリックします。
HOL-1751-MBL-5-JA
Page 156
HOL-1751-MBL-5-JA
Workspace ONEの選択
の選択
ブックマークバーの [Workspace ONE] を選択します。
ログイン
以下の資格でWorkspace ONEにログインします。
1. ユーザー名： cso
2. パスワード： VMware1!
3. [ログイン] をクリックします。
HOL-1751-MBL-5-JA
Page 157
HOL-1751-MBL-5-JA
Workspace ONEのカタログ
のカタログ
いったんWorkspace ONEにログインすると、CSOユーザーがランチャのページ上にアプリケーシ
ョンを持っていないことがわかります。管理者がWorkspace ONEでアプリケーションを定義する
ときに、自動的にアプリケーションを有効にするか、ユーザーにアクティベーションさせるかのオ
プションがあります。自動が有効になっていると、ログイン時にユーザーがランチャのページでア
プリケーションが表示されます。ユーザーによるアクティベーションを選択したアプリケーション
は、ユーザーが最初にカタログを参照し、使用するアプリケーションを追加する必要があります。
このラボ環境では、すべてのアプリケーションが、ユーザーによるアクティベーションに設定され
ています。
1. [カタログ] を選択します。
Workspace ONEのカタログ
のカタログ
カタログには、ユーザーに資格付与されたすべてのアプリケーションが一覧表示されます。以下の
ような多くの種類のアプリケーションがサポートされています。
- Web
- SaaS
- ThinApps
- VMware Horizon デスクトップと公開アプリケーション
- Citrix XenDesktopとXenAppのアプリケーション
- IOSとAndroidのネイティブアプリケーション
ユーザーが探しているアプリケーションを簡単に見つけるために、管理者はアプリケーションをカ
テゴリにグループ分けすることもできます。今回のラボ環境では、4つのカテゴリが作成されてい
ます。
HOL-1751-MBL-5-JA
Page 158
HOL-1751-MBL-5-JA
- Horizon Applications
- Horizon Desktops
- ThinApp
- Web
アプリケーションを有効にするためには、使用したいアプリの [ADD] ボタンをクリックする必要
があります。次のアプリケーションを追加します。
1.
2.
3.
4.
7-Zip 9.20
Calculator
VMware vCenter Console
Windows 10 x64 Desktop
HOL-1751-MBL-5-JA
Page 159
HOL-1751-MBL-5-JA
Workspace ONEのカタログ
のカタログ
ランチャーを選択します。
Workspace ONEのランチャー
のランチャー
カタログから追加されたアプリケーションは、Workspace ONEのランチャーのページで利用でき
るようになりました。
ThinAppのポップアップメッセージ
のポップアップメッセージ
ハードウェア速度および利用可能なリソースによっては、Main Consoleのシステムトレイ上にあ
るポップアップメッセージが表示されない場合があります。7-Zip 9.20 は ThinAppアプリケーシ
ョンです。Workspace ONEでThinAppアプリケーションを使用するためには、端末にVMware
HOL-1751-MBL-5-JA
Page 160
HOL-1751-MBL-5-JA
Identity Managerエージェントをインストールする必要があります。VMware Identity Manager
エージェントは、ThinAppアプリケーションのインストール、削除およびアクセスの検証を担当し
ます。ThinAppアプリケーションは、自己完結型の.EXEファイルであり、実際に実行される従来型
のインストールはされないことに注意してください。アプリケーションのファイルの種類の関連付
けを（もしあれば）有効にするために、VMware Identity Managerエージェントは、ワークステ
ーションにThinAppパッケージを登録し、すべての.EXEをダウンロードします。
7-Zip File Managerの起動
の起動
1. [7-Zip File Manager] をダブルクリックします。
2. もし [Open File – Security Warning] ウインドウが表示されたら、[Run]ボタンを選択し
ます。
HOL-1751-MBL-5-JA
Page 161
HOL-1751-MBL-5-JA
7-Zip File Manager
7-Zip File Managerが起動し、Main Consoleのデスクトップ上でネイティブにインストールされ
たアプリケーションのように実行されます。
1. 7-Zip File Managerを[X]をクリックして閉じます。
HOL-1751-MBL-5-JA
Page 162
HOL-1751-MBL-5-JA
Calculator(電卓
電卓)の起動
の起動
1. [Calculator] をダブルクリックします。
Calculatorは、Horizonの公開アプリケーションで、Workspace ONEと同期されています。
Horizon環境との同期によって、Workspace ONEはユーザーとグループの資格とデスクトップや
公開アプリケーションの完全なリストを取得することができます。Workspace ONEは、弊社
(VMware社)のクラウドサービスであるHorizon Airを含む複数のHorizon環境と同期することがで
きます。これによって、ユーザーにすべてのHorizonのリソースにアクセスするための1つの中央の
場所を提供します。Horizonリソース（デスクトップまたは公開アプリケーション）を選択する
と、VMware Horizon Viewクライアントは、（URLに似た）URIを受けてセッションを起動しま
す。シングルサインオンは、ユーザーがログインする際に自分のWindows資格情報を入力する必要
がないように、SAMLやTrueSSOを通じて有効になっています。
起動が成功すると、CalculatorはローカルのWindowsアプリケーションと同じように開いて動作し
ます。
2. [Calculator] の [X] をクリックして閉じます。
3. [VMware vCenter...] をダブルクリックします。
VMware vCenterのシングルサインオン
のシングルサインオン
VMware vCenterコンソールのアプリケーションは、Workspace ONEの標準的なWebアプリケー
ションとして定義されています。Webアプリケーションを起動すると、新しいブラウザのタブがア
プリケーションを起動するために開きます。これは、ユーザーが複数のアプリケーションを起動す
る場合にナビゲートを容易にし、簡単にWorkspace ONEに戻ることができます。シングルサイン
オンは、このアプリケーションで有効にされていないため、この例では、ユーザーがアプリケーシ
HOL-1751-MBL-5-JA
Page 163
HOL-1751-MBL-5-JA
ョンを使用するには、有効な資格情報を入力する必要があります。良いユースケースは、端末とブ
ラウザ間でのローミングやブックマークを気にすることがないように、イントラネットとユーザー
の関心のある他のサイトへのリンクを提供することです。
1. [Workspace ONE]タブを選択します。
Windows 10 x64 デスクトップの起動
[Windows 10 x64…] をダブルクリックします。
Windows 10 x64 デスクトップ
電卓を起動すると同様に、VMware Identity Managerは、デスクトップセッションを起動するた
めに、Main ConsoleのローカルにインストールされたHorizonクライアントにURIを送りました。
HOL-1751-MBL-5-JA
Page 164
HOL-1751-MBL-5-JA
SAMLトークンは、ユーザーのデスクトップにシングルサインオンできるようにHorizon View ブロ
ーカーに提供されました。
1. [Options] を選択します。
2. [Disconnect and Log Off] を選択します。
3. [OK] を選択します。
HOL-1751-MBL-5-JA
Page 165
HOL-1751-MBL-5-JA
Workspace ONEのサインアウト
のサインアウト
1. [chief officer] を選択します。
2. [サインアウト] を選択します。
セキュリティ観点から、Workspace ONEは、ユーザーにとって中央の場所からすべてのアプリケ
ーションを簡単に起動できるようになります。また、複数の資格情報を覚えておく必要がありませ
ん。
ITは、単一のアプリケーションや環境全体へのアクセスを簡単に削除することができます。
HOL-1751-MBL-5-JA
Page 166
HOL-1751-MBL-5-JA
Conclusion
Thank you for participating in the VMware Hands-on Labs. Be sure to visit
http://hol.vmware.com/ to continue your lab experience online.
Lab SKU: HOL-1751-MBL-5-JA
Version: 20161106-053955
HOL-1751-MBL-5-JA
Page 167

Download Report