VMware Hands-on Labs - HOL-1751-MBL-5-JA


ラボ概要 - HOL-1751-MBL-5 - Horizon 7:エンドツーエンドセキュリティ

ラボガイダンス


注:このラボを完了するのに約120分かかります。各モジュールには依存性がないため、どのモジュールもモジュールの先頭から始めることができます。また、目次から選んだモジュールに飛ぶこともできます。目次はラボマニュアルのi右上にあります。

Blast ExtremeはH.264を拡張したHorizon用のVMwareの最新のディスプレイプロトコルです。

アクセスポイントはvIDMおよびHoriozon View向けのセキュリティサーバに対してリバースプロキシ機能を提供します。

Horizonは複数のコンポーネント間およびユーザデバイスのセキュアな通信を確保するためにSSL証明書を使います。

Identity ManagerはSSOの機能およびアプリケーションやデスクトップへの安全なアクセスをユーザに提供するのに加え、ユーザが必要に応じてアプリケーションやサービスを選択し、有効にするセルフサービス機能を提供します。

ラボモジュールリスト:

ラボキャプテン:

このラボのマニュアルは下記のハンズオンラボドキュメントサイトからダウンロードすることができます:

http://docs.hol.vmware.com

このラボは他の言語でも利用できます。言語設定を変更することでローカライズされたマニュアルが展開されます。実行にあたり助けになる下記ドキュメントをご利用ください:

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Location of the Main Console

 

  1. The area in the RED box contains the Main Console.  The Lab Manual is on the tab to the Right of the Main Console.
  2. A particular lab may have additional consoles found on separate tabs in the upper left. You will be directed to open another specific console if needed.
  3. Your lab starts with 90 minutes on the timer.  The lab can not be saved.  All your work must be done during the lab session.  But you can click the EXTEND to increase your time.  If you are at a VMware event, you can extend your lab time twice, for up to 30 minutes.  Each click gives you an additional 15 minutes.  Outside of VMware events, you can extend your lab time up to 9 hours and 30 minutes. Each click gives you an additional hour.

 

 

Alternate Methods of Keyboard Data Entry

During this module, you will input text into the Main Console. Besides directly typing it in, there are two very helpful methods of entering data which make it easier to enter complex data.

 

 

Click and Drag Lab Manual Content Into Console Active Window

You can also click and drag text and Command Line Interface (CLI) commands directly from the Lab Manual into the active window in the Main Console.  

 

 

Accessing the Online International Keyboard

 

You can also use the Online International Keyboard found in the Main Console.

  1. Click on the Keyboard Icon found on the Windows Quick Launch Task Bar.

 

 

Click once in active console window

 

In this example, you will use the Online Keyboard to enter the "@" sign used in email addresses. The "@" sign is Shift-2 on US keyboard layouts.

  1. Click once in the active console window.
  2. Click on the Shift key.

 

 

Click on the @ key

 

  1. Click on the "@" key.

Notice the @ sign entered in the active console window.

 

 

Activation Prompt or Watermark

 

When you first start your lab, you may notice a watermark on the desktop indicating that Windows is not activated.  

One of the major benefits of virtualization is that virtual machines can be moved and run on any platform.  The Hands-on Labs utilizes this benefit and we are able to run the labs out of multiple datacenters.  However, these datacenters may not have identical processors, which triggers a Microsoft activation check through the Internet.

Rest assured, VMware and the Hands-on Labs are in full compliance with Microsoft licensing requirements.  The lab that you are using is a self-contained pod and does not have full access to the Internet, which is required for Windows to verify the activation.  Without full access to the Internet, this automated process fails and you see this watermark.

This cosmetic issue has no effect on your lab.  

 

 

Look at the lower right portion of the screen

 

Please check to see that your lab is finished all the startup routines and is ready for you to start. If you see anything other than "Ready", please wait a few minutes.  If after 5 minutes your lab has not changed to "Ready", please ask for assistance.

 

Control Center ブラウザ言語設定(日本語)

Firefox ブラウザ言語設定 (日本語表示)


vSphere Web Clientはブラウザベースです。日本語表示するためには、ブラウザの言語設定を日本語に設定します。

なお、vSphere Web Client 以外の一部ツールでは英語表記となります。これはハンズオンラボ環境特有のものです。


 

Firefoxの起動

 

Firefoxアイコンをクリックし、 起動します。

 

 

Firefoxブラウザの日本語化

 

1. ウィンドウ右上のメニューを開きます。

2. [Options]  をクリックします。

 

 

Firefoxブラウザの日本語化

 

左側メニューから [Content] を選択します。

 

 

Firefoxブラウザの日本語化

 

[Languages] の [Choose...] をクリックします。

 

 

Firefoxブラウザの日本語化

 

[Select a language to add...] をクリックします。

 

 

Firefoxブラウザの日本語化

 

1. プルダウンから [Japanese [ja] ] を選択します。

2. [Add] をクリックします。

3. [OK] をクリックします。

4. Firefox を再起動します。

 

Google Chrome ブラウザ言語設定(日本語表示)


vSphere Web Client はブラウザベースです。日本語表示にする為には、ブラウザの言語設定を日本語に設定します。

なお、vSphere Web Client 以外の一部ツールでは英語表記となります。これはハンズオンラボ環境特有のものです。


 

Google Chrome の起動

 

Google Chrome を起動します。

 

 

Google Chrome のメニューを開く

 

ブラウザウィンドウ右上のメニューを開きます。

 

 

Google Chrome の設定画面を開く

 

[Settings] をクリックします。

 

 

Google Chrome の詳細設定を表示

 

1. 画面を下へスクロールします。

2. [Show advanced settings...] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

画面を下へスクロールし、[Language and input setting...] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

[Add] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

1. プルダウンから [Japanese - 日本語] を選択します。

2. [OK] をクリックします。

 

 

Google Chrome の言語と入力の設定

 

1. 左側 [Languages] 内の [Japanese] を一番上までドラッグで移動させます。

2. [Done] をクリックします。

3. Google Chrome ブラウザを再起動します。

 

モジュール1 - Blast Extreme (30 分)

イントロダクション


デジタルワークスペースの構築と最適化を目的として、VMwareは新しいBlast Extremeディスプレイテクノロジにより、さらなる選択肢と柔軟性をお客様に提供します。Blast Extremeは業界標準のH.264プロトコルから作られており、H.264が利用できる多くの既存クライアントデバイスを幅広くサポートしています。お客様はクライアントデバイスやユースケースに応じてBlast Extreme, PCoIP, RDPを選ぶことができます。Blast ExtremeはPCoIPに対してもデバイスサポートに加え、固有のアドバンテージがあります。TCPおよびUDPネットワークの両方で有効です。また、CPU消費が低く、デバイスのバッテリが長持ちします。これに加え、NVIDIA GRIDなどホスト上のGPUベースのハードウェアアクセラレーションと組み合わせることで、非常に視覚的なビジュアルアプリケーションに対してグラフィックパフォーマンスを発揮するソリューションを提供します。

VMware Blast Extreme機能

VMware Blast Extremeの主要機能は下記となります:

- 企業ファイアーウォールの外にいるユーザは企業のVPN上でこのプロトコルを使い、企業DMZ上のセキュリティサーバやアクセスポイントアプライアンスへの暗号化された通信で安全性を確保できます。

- AES 128-bit暗号化をデフォルトでサポートしています。また、AES-192やAES-256に変更することもできます。

- 全てのタイプのクライアントデバイスから接続

- LANおよびWANのネットワーク利用帯域削減のために最適化

- 仮想ディスプレイで32-bitカラーをサポート

- ClearTypeフォントをサポート

- LANおよびWANに対するダイナミック音質調整付きオーディオリダイレクション

- Webカメラやマイク利用のためのリアルタイムAudio-Video

- クライアントOSとリモートアプリケーション間でのテキストやイメージ(一部のクライアント)のコピー&ペーストのサポート。その他のクライアントはプレーンテキストのコピー&ペーストのみサポート。フォルダーやファイルなどのシステムオブジェクトはコピー&ペーストできない

- いくつかのクライアントタイプでマルチモニタをサポート。一部で2560 x 1600レゾリューションの4モニターまたは4K(3840 x 2160)の3モニターをサポート(Windows7リモートデスクトップでAero無効の場合)。画面回転と自動フィットをサポート

3D機能が有効な場合、1920 x 1200レゾリューションの2モニターもしくは4K(3840 x 2160)の1モニターをサポート

- いくつかのクライアントタイプでUSBリダイレクションをサポート

- いくつかのWindowsクライアントOSとリモートデスクトップOS(Horizon Agent インストール済み)でMMRリダイレクションをサポート

VMware Blast Extreme機能に関するクライアントデバイスサポートについての情報は下記を参照

https://www.vmware.com/support/viewclients/doc/viewclients_pubs.html.

このモジュールは以下のレッスンが含まれています:


レッスン: Blast Extreme用のViewプール設定と接続テスト


このレッスンのねらい
1. Viewプールを設定し、ディスプレイプロトコルとしてVMware Blast Extremeを有効化する
2. ディスプレイプロトコルとしてVMware Blast Extremeを選択し、Horizon Viewクライアント使用する
3. プロトコル選択を確認し、VMware Blast Extremeを使って仮想デスクトップに接続する


 

Google Chromeの起動

 

メインコンソールのデスクトップからGoogle Chromeをダブルクリックする

 

 

Horizon 7 Administrator の起動

 

Google Chromeのショートカットバーから

  1. Horizon 7 フォルダをクリック
  2. Horizon 7 Administrator – Aをクリック

 

 

プライバシーに関する注意

 

ブローカーはデフォルトの自己署名証明書を使っているため、Google Chromeではプライバシーワーニングメッセージが表示されます。ワーニングメッセージが出ない場合は次のステップに進んでください。

1. Advanced をクリック

2. Proceed to h7cs-01a.corp.local をクリック

 

 

Horizon 7 管理コンソールにログイン

 

下記のログイン情報を使ってHorizon 7 管理コンソールにログインします。

  1. ユーザ名: administrator
  2. パスワード: VMware1!
  3. ドメイン: CORP
  4. ログイン をクリック

 

 

デスクトッププール

 

インベントリ欄の

  1. カタログ を展開する
  2. デスクトップ プール を選択する

 

 

Win10x64 デスクトッププールを編集する

 

  1. win10x64 プールを選択する
  2. 編集… をクリックする

 

 

デスクトッププール設定

 

  1. デスクトップ プールの設定 タブを選択する
  2. リモート表示プロトコル 欄でPCoIPがデフォルトプロトコルとして選択されていることを確認する。ここでは管理者はユーザに利用させたいプロトコルを選択することができる。
  3. 選択矢印をクリックすると利用可能なプロトコルのリストが表示される。 VMware Blast が表示されるのを確認し、選択する。これによりこのプールのデフォルトプロトコルがPCoIPからVMware Blastとなる。 この後のレッスンでデスクトップ接続プロトコルとして、どのプロトコルを選択したかを確認します。
  4. キャンセル をクリックする

 

 

Google Chrome を最小化する

 

1. Google Chrome を最小化します

 

 

VMware Horizonクライアントの起動

 

メインコンソールのデスクトップから VMware Horizon Client ショートカットをダブルクリックする

 

 

h7cs-01a.corp.localを選択

 

h7cs-01a.corp.local をダブルクリックする

 

 

VMware Horizon環境にログイン

 

cso でログインする

  1. User name: cso
  2. Password: VMware1!
  3. Domain: CORP
  4. Loginをクリックする

 

 

ディスプレイプロトコルの選択

 

この時点でユーザが利用したいディスプレイプロトコルを選択できます。これは、対象のプールに対してプール設定で許可しているためです。以下、ディスプレイプロトコルを選択します。

  1. Windows 10x64 Desktop プールを右クリック
  2. 選択できるオプションが表示されます。PCoIPがデフォルトに設定されていることを確認します(前のステップでViewプールに設定したようになっている)
  3. VMware Blast を選択する

 

 

VMware Blastを使ってデスクトップに接続

 

VMware Blastをディスプレイプロトコルとして選択しました。続けてデスクトップに接続します。

  1. Windows 10x64 Desktop を再度右クリックする
  2. 現在 VMware Blast がプロトコルとして選択されていることを確認する
  3. Launch をクリック

 

 

VMware Blastを使用したデスクトップ接続

 

今、VMware Blast Extremeを使ってWindows 10デスクトップに接続しました。前にも説明しましたが、VMware Blast ExtremeはPCoIPと機能的に同等で、TCPやUDP通信の両方で使えるなどの追加の利点を持っています。

1. デスクトップ接続を最小化します

 

 

View管理コンソールの最大化

 

メインコンソールのタスクバーから、View Administrator のコンソールを最大化します。

 

 

Horizon Administrator コンソールデータのリフレッシュ

 

Horizon 管理コンソールの更新ボタンをクリック

 

 

有効なセッション

 

セッションに表示されている数字の 1 をクリック

 

 

セッション情報

 

セッション情報のページには、セッションに関する情報が表示されます。ここで、VMware Blast Extreme (BLAST) が使用されている事に注目してください。

1. コンソールからログアウトします。

 

 

Windows 10 x64 デスクトップセッションの最大化

 

Windows 10x64 Desktop タブをクリックして、デスクトップセッションを最大化してください。

 

 

デスクトップセッションからログオフ

 

Horizon View ツールバー

  1. Options を展開
  2. Disconnect and Log Off を選択
  3. OK をクリック

 

 

結論

デスクトッププールにある仮想デスクトップの表示プロトコルとして VMware Blast Extreme を使用する設定が完了しました。これで仮想デスクトップは VMware Blast Extreme を使用して利用できるようになります。

 

モジュール 2 - アクセスポイント (30 分)

イントロダクション


Access Point は、利用権限のあるユーザがインターネット経由で接続するVMware エンド・ユーザー・コンピューティング・リソースに安全な遠隔アクセスを実現にするように設計された仮想アプライアンスです。Access Point は クラウドベースの Horizon Air かユーザのデータセンターに設置された VMware Horizon オンプレミス環境のどちらかにあるアプリケーションやデスクトップとの安全な接続性を提供します。Access Point は、View Security Server と同等の機能を提供します。

Access Point 仮想アプライアンスは、DMZ にデプロイされ、利用権限のあるユーザがアプリケーションやデスクトップにアクセスするために、データセンタ内に入るトラフィックを保証します。また、Access Point 仮想アプライアンスは利用権限のあるユーザのためのトラフィックを、その利用資格のあるデスクトップやアプリケーションリソースにのみ、直接通信させることを保証します。この保護レベルは、特定のデスクトッププロトコルの検査とポリシーの変化やネットワーク・アドレスと連携し、正確にアクセス制御することが可能です。

View Security サーバとの大きな違いは, 様々な利用用途がある Windows OS 上で動くのではなく、Access Point は堅牢でロックダウンされた事前設定済みの Linux ベースの仮想マシン上に実装されています。Access Point は、スケーラブルで、View Connection サーバと View Security サーバをペアで使うという制限はありません。ユーザは、Access Point を経由して一つの View Connection サーバに接続することや、ロードバランサを設置し、その後ろに複数の View Connection サーバを構成することで可用性を高めることができます。また Access Point は、Horizon Client とバックエンドにある View Connection サーバ間を仲裁する働きもします。そして Access Point は、スケールアップやスケールダウンが可能で、迅速にデプロイすることが可能なので、急速に変化する企業の要求に応えることができるようになっています。


Access Point デプロイのトポロジ


Access Point は複数のトポロジにデプロイすることができます。DMZ にある Access Point アプライアンスは VMware Horizon サーバーや VMware Horizon サーバ群の前に設置されたロードバランサに対して構成されます。Access Point アプライアンスは標準的な HTTPS 対応のサードパーティロードバランサー製品群と協調して動作します。また、Access Point は複数のネットワークインタフェース (NIC) でトラフィックを切り離すように構成することもできます。

外部、内部、及び管理トラフィックの全ては、別々のサブネットに接続された、それぞれ個別の NIC  を持ちます。Access Point は VMware Identity Manager のリバースプロキシとしても機能します。


 

Access Point アプライアンスとロードバランサー

 

Access Point アプライアンスが VMware Horizon サーバーの前にあるロードバランサーと接続される場合、VMware Horizon サーバーインスタンスの選択は動的に行われます。例えば、ロードバランサーは各 VMware Horizon サーバインスタンスが処理しているセッション数と有効性を考慮し、どのサーバーに接続するかを選択します。ユーザーは内部ネットワーク上にある VMware Horizon ブローカー向けのロードバランストラフィックを処理するのと同じロードバランサーに接続されている Access Point を利用する事ができます。

 

 

Access Point アプライアンスに直接接続された VMware Horizon Connection ブローカー

 

ユーザーは、個別の VMware Horizon Connection ブローカに接続された Access Point アプライアンスも持つ事ができます。Access Point アプライアンスを使用すれば、外部接続のために必要となるペアや個別のブローカは不要です。Access Point は VMware Horizon Connection ブローカーと通信するために HTTPS を使用します。Security サーバーの時のように JMS、IPsec や AJP13 は必要ありません。

 

Access Point のデプロイと構成


Access Point は Deploy OVF テンプレートウィザードを使ってデプロイすることができます。管理者はデプロイ作業のために vCenter にログインする必要があります。また vCenter にログインしなくてもコマンドラインの VMware OVF Tool を使ってアプライアンスをデプロイすることもできます。このツールを使うことで、管理者はデプロイウィザードにはない高度なプロパティを設定することができます。Access Point がデプロイされる時、それらの後ろにある VMware Connection サーバインスタンスが適切に構成されている必要があります。

Access Point アプライアンスをデプロイした後に構成の変更や追加をする場合は、管理者は Access Point REST API を使用するか、異なった設定で再度アプライアンスをデプロイすることができます。Access Point REST API の仕様は、下記 URL から参照することができます: https://access-point-appliance.example.com:9443/rest/swagger.yaml


 

Access Point の構成のレビュー

 

メインコンソールデスクトップにある Google Chrome をダブルクリック

 

 

vCenter へのログイン

 

1. RegionA vCenter をクリック

2. Windows セッション認証を使用してください を選択

3. ログイン をクリック

 

 

ホストおよびクラスタ

 

ホストおよびクラスタ をクリック

 

 

AP-01a の選択

 

RegionA10 データセンタと RegionA01-COMP01 クラスタを展開

1. AP-01a を右クリック

2. 設定の編集… を選択

 

 

vApp オプション

 

1. vApp オプション を選択

多くの設定項目が確認できるはずです。

2. 矢印をクリックし、Horizon Properties ページを展開

 

 

Horizon Properties

 

多くの設定項目がありますが、これらの設定項目は Access Point のインストール時に設定されます。これらの多くの設定項目は Security サーバで使われていたものと似ています。一つ異なる点は Blast ゲートウェイに関するものです。このゲートウェイは現在 443 番ポートで待機していて、Security Server で使われていた 8443 は使用されません。

1. キャンセル をクリックし次に進む

 

 

新規タブ

 

Google Chrome の新規タブをオープン

 

 

Horizon View 管理コンソールの起動

 

新規タブの

1. Horizon 7 フォルダを選択

2. Horizon 7 Administrator –A リンクをクリック

 

 

Horizon View 管理コンソールへのログイン

 

下記の情報を使い Horizon 7 管理コンソールにログイン

  1. ユーザー名: administrator
  2. パスワード: VMware1!
  3. ドメイン:CORP
  4. ログイン をクリック

 

 

コネクションサーバーの構成

 

Horizon 7 管理コンソールにログインした状態

1. 矢印をクリックして View 構成 を展開

2. サーバ をクリック

3. 接続サーバ タブを選択

4. 接続サーバのリストから H7CS-01A を選択

5. 編集… をクリック

 

 

接続サーバの構成

 

Access Point を使用する場合は、Access Point は PCoIP と Blast ゲートウェイのための全ての設定を含みます。よって、Connection ブローカのチェックボックスにチェックが入っていた場合、それら全てを外す必要があります。

1. キャンセル をクリックして次に進む

 

 

Google Chrome の最小化

 

1. Google Chrome を最小化

 

 

VMware Horizon Client の起動

 

メインコンソールデスクトップにある VMware Horizon Client をダブルクリック

 

 

ap-01a.corp.local の選択

 

ap-01a.corp.local をダブルクリック

 

 

VMware Horizon Client へのログイン

 

次の認証情報を使用してログインします。

  1. User name:  cso
  2. Password: VMware1!
  3. ドメイン: CORP
  4. [ログイン] をクリックします。

注:もしログイン画面が表示されない場合は、Access Pointの仮想アプライアンスの(数ステップ前の)再起動処理が完了していない可能性があります。もし表示されない場合は、数分お待ちの上、再度お試しください。

 

 

Windows 10 x64 Desktop セッションを起動

 

Windows 10 x64 Desktop をダブルクリックしてセッションを開始します

 

 

Access Pointへの接続を検証

 

1. スタートメニューを右クリックします。

2. [Run]を選択します。

3. 「cmd」を入力します。

4. [OK]をクリックします。

 

 

設定情報を表示

 

DOSプロンプトにて、「set」 を入力し <Enter> キーを押します。

 

 

View Client の設定情報を確認する

 

  1. View Client の設定情報のリストをスクロールアップします。
  2. Access Point を通して接続する Windows 10 x64 へアクセスしている以下のエントリを確認します。

ViewClient_Broker_GatewayLocation=External

ViewClient_Broker_GatewayType=AP

 

 

Windows 10 x64 デスクトップ セッションからログオフ

 

VMware Horizon Clientのツールバーから以下の通り行います。

1. [Option] をクリックします。

2. [Disconnect and Log Off] を選択します。

3. [OK] をクリックします。

 

モジュール3‐Horizon7のSSL証明書(30 分)

Horizon7 の SSL 証明書 - モジュールの説明


このモジュールでは、 VMware Horizon 7 が SSL 証明をいかに利用するか、またどのようにして必要な証明書を作成し、サインし、インストールするかを学びます。


 

モジュールの長さ

本モジュール完了までの目安は30分です。

 

Horizon7 の SSL 証明書の概要


VMware Horizonでは、Horizon コンポーネント間の全ての通信チャネルはSSL 認証メカニズムを用いて安全に保護されています。Horizon 5.1 に始まり、アップグレードもしくは新規インストールを経て、以前のバージョンよりもSSL 証明書に関して、よりセキュリティ性が高くなっていることがわかることでしょう。環境に Horizon サーバをインストールした時点で、各サーバにはデフォルトの自己署名証明書が含まれています。自己署名証明書は、証明書機関ではなくサーバ自体により発行されています。サーバはその証明書で識別および検証するため、結果的に信頼できない証明書になります。信頼されないサーバ証明書には、クライアントとサーバの間でトラフィックが傍受されるリスクがあるため、自己署名証明書はセキュリティのレベルが非常に低くなります。認証されていないサーバがトランザクションの内部に入り、組織内のサーバと同じ IP アドレスに応答した場合、管理者側には、自己署名証明書から生成されるオリジナルの警告以外の追加の警告は受信されません。

自己署名証明書はテスト環境用として許容されますが、本番環境用としてはセキュリティが十分ではありません。

VMware Horizon では、証明書が証明書機関により署名されていない場合にユーザーと管理者に警告することで、デフォルトの自己署名証明書を簡単には使用できないようにしています。セキュリティで保護された本番環境を実現するには、証明書機関 (CA) により署名されている SSL 証明書をインストールする必要があります。CA により署名されている SSL 証明書は、改ざん、傍受、「中間者」 (MITM) 攻撃から通信を保護します。これら証明書は、パスワードや PIN などの個人情報を受け渡す Horizon Clientと Horizon サーバ間において、安全なチャネルを提供します。Horizon サーバとともにインストールされるデフォルトの自己署名証明書を使用すると、Horizon サーバと Horizon Client間の通信が危険にさらされる可能性があります。


Horizon Connection Server に対する SSL のセットアップ


次のステップでは、公開キー セキュリティ プログラム用の証明書を発行する、組み込みの Microsoft Active Directory 証明書サービスを使用して、SSL 証明書が含まれる Horizon Connection Server を構成します。


 

Microsoft Certificate Authority

corp.local ドメイン用の証明書を発行するために、Microsoft Certificate Authority サービスがすでにインストールされ、構成されています。

あなたの所属する組織では、MCA またはサードパーティの署名機関を使用する可能性があります。

『Active Directory 証明書サービスの概要』 は次の場所にあります: http://technet.microsoft.com/en-us/library/hh831740.aspx

 

Horizon 5.1 以降での SSL 証明書のセキュリティの強化



 

Horizon サーバの証明書が署名されていない場合にユーザーに表示される警告

 

Horizon サーバの証明書が証明書機関により署名されていない場合にユーザーに表示される警告

Horizon Client には、Horizon サーバを完全に検証できない場合には警告を表示し、証明書を確認するための改良されたメカニズムが含まれています。すべての Horizon サーバはデフォルトの自己署名証明書とともにインストールされます。Horizon 5.1 以降のデフォルトでは、デフォルトの証明書を CA により署名された証明書にアップグレードしないと、ユーザーには警告が表示されるようになっています。

新しいVMware Horizon ClientではHTTPS(HTTP over SSL)での通信のみに限定ができます。HTTP通信はもはや許可されません。全てのVMware Horizon Clientの通信は暗号化されます。

 

 

高度な VMware Horizon コンポーネントの証明書の確認

 

Horizon Administrator ダッシュボードに表示される高度な Horizon コンポーネントの証明書チェック

VMware Horizon では、接続されているコンポーネントを確認するためにより高度な証明書チェックを実行しています。Horizon Administrator ダッシュボードでは、信頼される CA (信頼される証明機関ストアに存在する CA) によって署名されている証明書が含まれない Horizon サーバの横に、赤い警告の記号が表示されます。

 

 

Windows 証明書ストアのサポート

 

Windows 証明書ストアのサポート

Horizon では、Horizon コンポーネントに関する証明書を管理するために、Windows 証明書ストアのみをサポートします。Horizon では、JKS および PKCS 証明書ストア、もしくは複雑な Java Keytool や証明書要求を生成したり、生成された署名書をキーストアにインポートして戻すコマンド ライン ツールを用いるキーストアを使用できました。Windows管理者はWindowsの従来のツールに比べ、これらのツールには慣れていませんでしたが、現在は、Microsoft 管理コンソール (MMC) の証明書スナップインを使用して、証明書を取得してインポートするプロセスの一部を実行できるようになりました。Windows 証明書ストアは、サーバとデスクトップ両方の Windows オペレーションによりデフォルトでインストールされ、また管理者にとって使い慣れた証明書管理インターフェイスです。

このように Windows 証明書ストアを使用するよう変更されたため、証明書の秘密キーの保護を向上させることができます。ほかの証明書ストアを使用していた場合、キーファイルの暗号化パスワードはテキスト ファイルで保存されていました。また、Windows 証明書ストアにより、SSL サーバ証明書を管理するプロセスが簡素化され、精度が高くなっています。CSR を生成し、キーストアを作成し、キーストアに証明書をインポートする際の、以前の Java Keytool の方式は、より複雑な方式でした。

 

 

Horizonサーバに必要なSSL証明書

 

次の Horizon のコンポーネントには SSL 証明書が必要です。

 

 

証明書の種類

 

証明書の署名要求で、1 台のサーバもしくは複数サーバ分の証明書を要請できます。

1 台のサーバの証明書: 指定された 1 台のサーバ用の証明書を受信します。このサーバには、Horizon Connection Server とロード バランサのいずれかを使用できます。Horizon Client は、Connection Server またはロード バランサへの 1 つの URL を使用してデスクトップにアクセスします。

 

複数サーバの証明書: 複数サーバの証明書には、SAN 証明書とワイルドカード証明書の 2 つの一般的な種類があります。

Subject alternative name (SAN) 証明書: 次の形式の、1 つの名前に有効な証明書を受信します。

この種類の証明書を要求する場合は、次のように、この証明書に許可する代替サーバの URL を指定します。

指定した複数の Horizon サーバ上のそれぞれに、同じ SAN 証明書を配置できます。

SAN 証明書は認定する可能性があるサーバを事前に指定するため、ワイルドカード証明書よりもセキュリティ性が高いですが、SAN 証明書は拡張性が低いため、ワイルドカード証明書よりも安価です。

 

ワイルドカード証明書: 組織のドメイン内のすべてのサーバに対する証明書を受信します。*.<自社名>.com

このワイルドカード証明書は、環境における 1 つのドメイン レベル内の任意のサーバに使用できます。たとえば、*.<自社名>.com 証明書は、サブドメイン:

に使用できますが、

ワイルドカード証明書は最も柔軟性の高い種類の証明書であるため、最も高価です。ただし、認定するサーバを事前に指定する必要がないため、ワールドカード証明書は SAN 証明書よりもセキュリティが低いとみなされます。管理者は、ドメイン内の任意のサーバにこの証明書を配置できます。また、ワイルドカード証明書を使用すると、セキュリティ侵害が発生した場合に多くの部分が被害に曝されます。

 

 

Horizon Administrator コンソールでの自己署名証明書の確認

このセクションでは、デフォルトの自己署名証明書が Horizon Connection Server に使用されていることを確認します。

 

 

VMware Horizon Administrator コンソールにログインする

 

メインコンソールのデスクトップにある Google Chrome をダブルクリックします

 

 

VMware Horizon Administrator コンソールにログインする

 

1. [Horizon 7] フォルダをクリックします。

2. [Horizon 7 Administrator – A] を選択します。

 

 

プライバシーエラー

 

自己証明書を利用しているため、プライバシーエラーのメッセージが表示されます。

1. [Advanced] をクリックします。

2. [Proceed to h7cs-01a.corp.local (unsafe)] をクリックします。

 

 

Horizon Administrator コンソールへのログイン

 

以下の認証情報を利用してログインします。

  1. ユーザ名:Administrator
  2. パスワード:VMware1!
  3. ドメイン:CORP
  4. [ログイン] をクリックします。

 

 

信頼されていない証明書

 

 

 

Google Chromeを閉じる

 

 

Microsoft CA からの署名証明書を要求する


このセクションでは、 Microsoft Certificate Authority から新しい証明書を要求します。


 

Active Directory サービスの再起動

 

注: この実習ラボでは、ラボ環境の都合上、次のステップが必要になります。これは、このモジュールでのみ必要となるステップです。

  1. メインコンソールのデスクトップにいることを確認します。
  2. [Start]  をクリックします。
  3. 「services.msc」 と入力します。

 

 

Active Directory Servicesの再起動

 

  1. [Services] ウィンドウで [Active Directory Certificate Services] を選択します。
  2. [Restart] をクリックします。
  3. 次に [Active Directory Domain Services] を選択します。
  4. [Restart] をクリックします。
  5. [Yes] を選択して、ほかのサービスを再起動します。
  6. サービス ウィンドウを閉じ、次に進みます。

 

 

Connection Server に RDP 接続

 

メインコンソールのデスクトップから、次の操作を行います。

  1. [Start] をクリックします。
  2. 検索ウィンドウに 「mstsc /c」 と入力します。
  3. <Enter> キーを押します。

 

 

RDP から Connection Server への接続

 

1. 「h7cs-01a.corp.local」 と入力します。

2. [Connect] をクリックします。

 

 

認証情報の入力

 

  1. ユーザー名: CORP\administrator
  2. パスワード: VMware1!
  3. [OK] をクリックします。

 

 

Microsoft 管理コンソール (MMC) の起動

 

H7CS-01A デスクトップから、次の操作を行います。

  1. [Start] アイコンを右クリックします。
  2. [Run] を選択します。
  3. mmc」 と入力します。
  4. [OK] をクリックします。

* 注意 *: ControlCenter 上ではなく、H7CS-01A へのリモート デスクトップ セッション内から MMC を起動していることを確認します。

 

 

MMC: スナップインの追加

 

MMC に証明書スナップインを追加する必要があります。

  1. [File] を選択します。
  2. [Add/Remove Snap-in] を選択します。

 

 

証明書スナップインの追加

 

ローカル証明書を管理するには、スナップインをインストール / 有効化する必要があります。

  1. [Certificates] をクリックします。
  2. [Add] をクリックします。
  3. [Computer account] をクリックします。
  4. [Next] をクリックします。

 

 

コンピュータの選択とスナップインのインストールの完了

 

  1. [Local computer] をクリックします。
  2. [Finish] をクリックします。
  3. [OK] をクリックして [Snap-ins] ウィンドウを閉じます。

 

 

自己署名証明書

 

  1. [Certificates (Local Computer)] を展開します。
  2. [Personal] フォルダを展開します。
  3. [Certificates] フォルダをクリックします。
  4. Horizon Connection Server のインストール時に作成された既存の自己署名証明書を確認します。証明書が自己署名である場合、通常は [Issued By] フィールドがローカル サーバと同じ名前になります (下図参照)。フレンドリ名が vdm であることを確認します (この情報を見るにはウィンドウを拡大しなければならない場合があります)。フレンドリ名は、使用するサーバ証明書を特定するために Horizon Connection Server によって使用されます。

 

 

既存の証明書の変更

 

  1. 既存の証明書 h7cs-01a.corp.local を右クリックします。
  2. [Properties] を選択します。

 

 

フレンドリ名の値の変更

 

フレンドリ名 [vdm] を確認します。この値により、Horizon Connection Server で証明書を使用できます。

  1. フレンドリ名の値を 「self-signed」 に変更します。
  2. [OK] をクリックします。

 

 

新しい SSL 証明書の要求

 

証明書の登録を開始するには、次の操作を行います。

  1. [Certificates] を右クリックします。
  2. [All Tasks] を選択します。
  3. [Request New Certificate...] を選択します。

 

 

[Next] をクリック

 

[Next] をクリックして登録を開始します。

 

 

証明書登録ポリシー

 

 

 

証明書の要求

 

  1. [Web Server] チェック ボックスをオンにします。
  2. [Web Server] チェックボックスの下の [More information is required to enroll this certificate] のリンクをクリックします。

 

 

証明書のプロパティ - [Subject]

 

証明書要求のプロパティの [Subject] タブで、次の操作を行います。

  1. [Subject name] の [Type] を、ドロップダウン リストから [Common name] に変更します。
  2. [Value] フィールドに次のように入力してサーバ名を追加します: h7cs-01a.corp.local
  3. [Add] をクリックします。
  4. [Alternative name] の [Type] を、ドロップダウン リストから [DNS] に変更します。
  5. [Value] フィールドに 「h7cs-01a.corp.local」 と入力して FQDN を追加します。
  6. [Add] をクリックします。
  7. [Apply] をクリックしますが、まだ [OK] はクリックしないでください。

 

 

証明書のプロパティ - [General]

 

  1. [General] タブを選択します。
  2. [Friendly name] フィールドに 「vdm」 と入力して名前を追加します。
  3. [Apply] をクリックしますが、まだ [OK] はクリックしないでください。

 

 

証明書のプロパティ - [Private Key]

 

  1. [Private Key] タブをクリックします。
  2. [Key Options] を展開します。
  3. [Make private key exportable] チェック ボックスをオンにします。
  4. [Apply] をクリックします。
  5. [OK] をクリックします。

 

 

証明書の登録

 

[Enroll] をクリックして、CA から発行された証明書を適用します。

 

 

証明書登録成功

 

 

 

新しく発行された SSL 証明書の確認

 

  1. [Certificates (Local Computer)] を展開します。
  2. [Personal] フォルダを展開します。
  3. [Certificates] フォルダをクリックします。
  4. 新しい証明書が ControlCenter-CA から発行されていることを確認します。
  5. 確認が終了したら MMC を閉じます。RDP 接続は接続解除しないでください。
  6. [No] を選択して、コンソール設定を保存します。

注: h7cs-01a.corp.local へのリモート接続を閉じないように注意してください。

 

 

Horizon Connection Server サービスの再起動

証明書の要求を完了し、VMware Horizon Connection Server 用の新しい証明書を追加したため、いくつかのサービスを再起動する必要があります。このプロセスにより、Connection Server で新しい証明書が使用されます。

 

 

Services Control パネルの起動

 

h7cs-01a.copr.local デスクトップ上で、

  1. Windows のスタートボタンを右クリックします。
  2. Runをクリックします。
  3. services.mscと入力します。
  4. OK をクリックします。

 

 

Horizon Connection Server サービスの再起動

 

  1. VMware Horizon View Connection Serverをクリックします。
  2. Restart ボタンをクリックします。

必要な全ての VMware Horizon サービスが開始されている事を確認します。VMware Horizon View Script Host サービスは開始している必要はありません。 必要なサービスが Running になるまで待ってから次へ進んでください。

 

 

h7cs-01a.corp.local リモート デスクトップ セッションの最小化

 

RDP 接続を最小化します。

 

Horizon Administrator コンソールで署名された証明書が有用か確認


Horizon  Connection  Server に新しい証明書が正しくインストールされて、使用されているか確認します。


 

Google Chromeを起動

 

Main Console デスクトップで以下を実行します。

1. Google Chrome をダブルクリックします。

 

 

Horizon Administrator コンソールへの接続

 

  1. Horizon 7 フォルダーをクリックします。
  2. Horizon 7 Administrator - A を選択します。
  3. VMware Horizon Connection Server への URL が緑色の鍵になっている事に注目してください。これは証明書が信頼されている事を意味しています。

 

 

Horizon Administrator コンソールへのログイン

 

以下の認証情報を使用し、Horizon Administrator コンソールへログインします。

  1. ユーザー名: administrator
  2. パスワード: VMware1!
  3. ドメイン: CORP
  4. ログイン をクリックします。

 

 

信頼された証明書

 

 

 

Google Chrome を閉じる

 

 

Horizon Security Server – Microsoft CA で署名された証明書の要求


このセクションは情報のみで、次のステップのラボ作業は用意されていません。

以下は、ドメインに参加していない Horizon Security Server が、CA署名された証明書で接続を保証するためのプロセスの概略です。

このセクションでは、ドメインに参加していないウィンドウズ サーバからマイクロソフト証明局に新しい証明書を要求します。


 

Horizon Security Server の自己署名された証明書

 

 

 

Microsoft 管理コンソール (MMC) の起動

 

*注意事項*: 情報のみでラボ作業はありません。

Security Server のデスクトップで以下を実行します。

  1. Startアイコンをクリックします。
  2. MMC と入力します。
  3. MMC アプリケーションを選択して起動します。

 

 

MMC - スナップインの追加

 

*注意事項*: 情報のみでラボ作業はありません。

MMCコンソールに証明書スナップインを追加する必要があります。

  1. Fileを選択します。
  2. Add/Remove Snap-inを選択します。

 

 

Snap-in証明書スナップインの追加

 

*注意事項*: 情報のみでラボ作業はありません。

ローカルの証明書を管理するために、スナップインをインストールして有効化する必要があります。

  1. Certificatesをクリックします。
  2. Addをクリックします。
  3. Computer accountをクリックします。
  4. Next をクリックします。

 

 

コンピュータの選択とスナップインのインストールの完了

 

*注意事項*: 情報のみでラボ作業はありません。

  1. Local computerを選択します。
  2. Finishをクリックします。

OKをクリックします。

 

 

自己署名された証明書

 

*注意事項*: 情報のみでラボ作業はありません。

  1. Certificates (Local Computer) を広げます。
  2. Personalフォルダーを広げます。
  3. Certificatesフォルダーをクリックします。

Horizon Connection Server のインストールの際に作成された、既存の自己署名された証明書があります。

 

 

既存の証明書の修正

 

*注意事項*: 情報のみでラボ作業はありません。

  1. 既存の証明書 (HVCS-W8-02.corp.local) の上で、右クリックします。
  2. Propertiesを選択します。

 

 

フレンドリ名の変更

 

*注意事項*: 情報のみでラボ作業はありません。

フレンドリ名 “vdm” は、Horizon Connection Server で使われる証明書を有効にするキーです。

  1. Friendly nameの値を self-signed に変更します。
  2. OKをクリックします。

 

 

新しいSSL証明書の要求

 

*注意事項*: 情報のみでラボ作業はありません。

証明書の登録を始めます。

  1. Certificatesを右クリックします。
  2. All Tasks を選択します。
  3. Advanced Operations を選択します。
  4. Create Custom Request...を選択します。

 

 

証明書の登録

 

*注意事項*: 情報のみでラボ作業はありません。

Next をクリックして登録を開始します。

 

 

証明書登録ポリシー

 

*注意事項*: 情報のみでラボ作業はありません。

 

 

カスタム要求

 

*注意事項*: 情報のみでラボ作業はありません。

  1. Template で、ドロップダウンから(No template) Legacy Key を選択します。
  2. Request format で、PKCS #10 を選択します。

 

 

証明書情報 - カスタム要求

 

*注意事項*: 情報のみでラボ作業はありません。

  1. Details のドロップダウンをクリックします。
  2. 要求を修正するために Properties をクリックします。

 

 

証明書のプロパティ - 全般

 

*注意事項*: 情報のみでラボ作業はありません。

  1. General タブを選択します。
  2. Friendly name フィールドに vdm と入力します。
  3. OK ではなく、Apply をクリックします。

 

 

証明書のプロパティ- Subject

 

*注意*: 情報提供のみ。ラボでは実施しません

証明書要求のSubjectプロパティにて

1. “Subject Name”の”Type”を、ドロップダウンリストより”Common Name”に変更

2. “Value”フィールドにサーバー名を追加: (自分のサーバー名)HVSS-W8-02.corp.local

3. “Add”をクリック

4. “Alternative Name”の”Type”を、ドロップダウンリストより”DNS”に変更

5. “Value”フィールドにFQDN名を追加: (自分のFQDN名)HVSS-W8-02.corp.local

6. “Add”をクリック

 ・5.〜6.を繰り返し

 ・“Value”フィールドにホスト名を追加: (自分のホスト名)HVCS-W8-02

 ・“Add”をクリック

7. “Apply”をクリックします。まだ”OK”はクリックしないでください。

 

 

証明書のプロパティ- Extensions

 

*注意*: 情報提供のみ。ラボでは実施しません

証明書要求のSubjectプロパティにて

  1. “Key Usage”オプションを展開します
  2. “Decipher Only“を選択します
  3. “Add”をクリックします
  4. “Apply”をクリックします。まだ”OK”はクリックしないでください。

 

 

証明書のプロパティ- Private Key

 

*注意*: 情報提供のみ。ラボでは実施しません

  1. “Private Key”を選択します
  2. “Key Options”を展開します
  3. “Make private key exportable”をチェックします
  4. “Key Type”を展開します
  5. “Key Type”から”Exchange”を選択します
  6. “Apply”をクリックします
  7. “OK”をクリックします

 

 

カスタムリクエストの作成

 

*注意*: 情報提供のみ。ラボでは実施しません

”Custom request”を完了するため、“Next”を選択します

 

 

オフラインリクストの保存

 

*注意*: 情報提供のみ。ラボでは実施しません

  1. 証明書の配置場所とファイル名を選択します。
  2. ファイルフォーマットには”Base 64”を選択します。
  3. Custome requestを完了するため、“Next”を選択します

 

 

カスタムリクエストのWebエンロール

 

*注意*: 情報提供のみ。ラボでは実施しません

IEを開き、認証局のエンロールサイトにアクセすします

  1. http://controlcenter.corp.local/certsrv
  2. 認証情報を入力します。
  3. “OK”をクリックします。

 

 

証明書要求のタスク

 

*注意*: 情報提供のみ。ラボでは実施しません

1. “Request a certificate”を選択します

 

 

“Advanced Certificate Request”の提出

 

*注意*: 情報提供のみ。ラボでは実施しません

1. “advanced certificate request”を選択します

 

 

PKCS #10の提出

 

*注意*: 情報提供のみ。ラボでは実施しません

1. “Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file or submit a renewal request by using a base-64-encoded PKCS #7 file”を選択します

 

 

Custom Requestを開く

 

*注意*: 情報提供のみ。ラボでは実施しません

  1. カスタムリクエストを含んだ証明書ファイルを選択します。
  2. “Open with...”を選択し、NotepadもしくはWordpadでファイルを開きます

 

 

証明書要求のハッシュ値のコピー

 

*注意*: 情報提供のみ。ラボでは実施しません

カスタムリクエストの全文を選択し、コピー(もしくは切り取り)します

 

 

証明書要求のハッシュ値の送付

 

*注意*: 情報提供のみ。ラボでは実施しません

  1. カスタムリクエストの中身を、このページの”Saved Request”のフィールドに貼り付けます
  2. Certificate Templateを”Web Server”に変更します
  3. “Submit”をクリックします

 

 

署名された証明書チェーンのダウンロード

 

*注意*: 情報提供のみ。ラボでは実施しません

  1. エンコードタイプを“Based 64 encoded”に変更します
  2. “Download certificate chain”をクリックします

 

 

署名された証明書の保存

 

*注意*: 情報提供のみ。ラボでは実施しません

  1. 署名された証明書に名前をつけます
  2. “Save as type”で “PKCS #7”を選択します
  3. “Save”をクリックします

 

 

署名された証明書のインポート

 

*注意*: 情報提供のみ。ラボでは実施しません

Security ServerがインストールされているマシンのMMC→証明書のスナップインにて実施します

  1. “Certificates”をクリックします
  2. “Personal”フォルダーを展開します
  3. “Certificates”フォルダーを右クリックします
  4. “All Tasks”を選択します
  5. “Import”を選択します

 

 

証明書インポートウィザードの開始

 

*注意*: 情報提供のみ。ラボでは実施しません

“Next”をクリックします

 

 

署名済み証明書チェーンファイルのインポート

 

*注意*: 情報提供のみ。ラボでは実施しません

  1. “Browse”をクリックします
  2. “PKCS #7 Certificate”を選択します
  3. 証明書ファイルを選択します
  4. “Open”をクリックします
  5. “Next”をクリックします

 

 

証明書ストア

 

*注意*: 情報提供のみ。ラボでは実施しません

  1. “Default”もしくは”Personal”証明書ストアを選択します。
  2. “Next”をクリックします

 

 

インポートウィザードの完了

 

*注意*: 情報提供のみ。ラボでは実施しません

  1. “Finish”をクリックします
  2. 確認画面が表示されたら”OK”をクリックします

 

 

ルート証明書の移動

 

*注意*: 情報提供のみ。ラボでは実施しません

  1. “Certificates (Local Computer)”を展開します
  2. “Personal”フォルダーを展開します
  3. “Certificates”フォルダをクリックします
  4. CAのルート証明書を”Trusted Root Certification Authority”配下の “Certificates”フォルダーにドラッグします

 

 

新規発行したSSL証明書の確認

 

*注意*: 情報提供のみ。ラボでは実施しません

1. “Certificates (Local Computer)”を展開します

2. “Personal”フォルダーを展開します

3. “Certificates”フォルダーをクリックします

“ControlCenter-CA”から発行された証明書を確認します

4. 確認後、MMCを閉じます。RDPセッションはまだ切断しないでください

 

 

“Horizon Security Serverサービスの再起動

 

*注意*: 情報提供のみ。ラボでは実施しません

Security Serverにて

  1. “VMware Horizon View Security Server”サービスを再起動します
  2. (もしBlastを使用している場合)”VMware Horizon View Blast Secure Gateway”サービスを再起動します

 

 

署名済み証明書が使用されているかを確認

 

*注意*: 情報提供のみ。ラボでは実施しません

Security Serverの表示が緑色になっていること、Statusが”No problem detected”になっていること、SSL Certificateが”Valid”になっていることを確認します。

 

モジュール 4 - Identity Manager (30 分)

イントロダクション


VMware Identity Managerはオンプレミスのディレクレトリインフラを拡張し、シームレスなシングルサインオン(SSO)を提供するサービスです。ユーザーは共通のインターフェースを用い、デバイスからWeb、モバイル、SaaS、VMware Horizon デスクトップ、アプリケーションならびにレガシーアプリケーションにアクセスできます。VMware Identity Managerはサービスとして利用(http://www.vmware.com/products/identity-manager/)することもでき、オンプレミス環境にインストールすることもできます。Identity ManagerはAirWatch Enterprise Mobility Management とも連動し、業界に依存しないモバイルアプリケーション向けのシームレスなSSO、ならびにエンタープライズアプリストア、SAML Identity Provider (IDP)、アプリケーション利用分析、コンディショナルアクセスポリシー等の機能を実現します。


 

VMware Identity Manager Components

 

現在多くの企業は少なくとも1つか2つのSaaSアプリを使用しています。通常は、アプリの機能を所有する事業部門はアプリ提供の管理とユーザー管理を手作業で行います。せいぜい、IT担当者と調整してヘルプデスクやチケット管理、新規ユーザーの登録削除やパスワードリセットをするぐらいです。1つや2つのSaaSアプリならこれで良いかもしれないですが、多くの企業は第3、第4、第5のアプリを展開し、対応するモバイル用アプリのためこれらの手作業は複雑を極めるようになります。この複雑さがコンプライアンスとセキュリティーを脅かします。それは、どの従業員がどのアプリのアクセス権を持っているか、どのデータが無管理で暗号化されていないデバイスに保存されているかを、IT担当者は誰も確証が持てないからとなります。VMware Identity Manager と AirWatch® Enterprise Mobility Management™ と共に使うと、アプリのタイプとデバイスのタイプにまたがってユーザーを管理する単一のインフラをITは手に入れることができます。

もう一つの好例は、 Exchange Online に移行して Exchange 環境を簡素化するため Office 365の展開を計画している組織です。これらの組織は Office 365 アプリを無管理のデバイスに展開し、さらにはネイティブのモバイル iOS、Android、Windows 10 Office アプリにも展開したいと考えるかもしれません。Office 365が提供する利点を全て利用できるライセンスを既に受けているかもしれませんが、Office 365は完全に別のAzure ADディレクトリを使用し、既存の複雑なActive Directoryとの同期するのは困難を極めます。VMware Identity Managerは既存Active Directoryと一体化し、単一の情報源を維持し、展開を早めることができます。

 

Identity Manager セキュリティ


Identity Manager (Workspace ONEの一部)には、いくつかのセキュリティ・オプションが含まれます。少し例を挙げると、ユーザー認証オプションからのレンジ、デバイスコンプライアンスチェック、SSOするためのSAML連携、ウェブアプリへアクセスするためのポリシー管理などがあります。このレッスンにおいて、セキュリティオプションのいくつかを確認し、組織の要求に適合するセキュリティレベルを達成するための選択を提供する方法を学習します。


 

Google Chrome を起動する

 

メインコンソールから Google Chrome をダブルクリックします。

 

 

Workspace ONE の起動

 

Workspace ONE をクリックします。

 

 

ドメインの選択

 

デフォルトで表示されるドメインを選択させられるかもしれません。もしプロンプトが表示されなければ、次のステップまで進行してください。

  1. ドメインは corp.local を選択します。
  2. Next をクリックします。

 

 

管理者としてログイン

 

管理者としてログインします。

  1. ユーザー名: administrator
  2. パスワード: VMware1!
  3. ログイン をクリックします。

 

 

管理コンソールを起動する

 

  1. ドロップダウン をクリックします。
  2. AdminConsole を選択します。

 

 

アイデンティティとアクセス管理

 

1. ID と アクセス管理 を選択します。

2. ディレクトリ を選択します。

Identity Manager は Active Directory 環境の corp.local と通信するように構成されています。これにより、管理者は Identity Manager と同期されているユーザーとグループを選択することができます。ユーザーとグループが正常に同期されたら、管理者はそれらのユーザーにリソースを割り当てることができます。組織は、 SSO のために統合 Windows 認証を活用する場合は、 Identity Manager のアプライアンスは、 Active Directory ドメインに参加させる必要があります。

3. セットアップ を選択します。

 

 

ワーカー

 

vidm-01a.corp.local を選択します。

 

 

認証アダプタ

 

認証アダプタ を選択します。

 

 

認証方法

 

Identity Managerは、認証のための複数のオプションを提供します。現在、PasswordIdpAdapter は有効になっており、ユーザーポータルにアクセスするためにユーザーは Active Directory のユーザー名とパスワードの入力を要求されます。マルチプルコネクタは、異なる種類の認証アダプタを利用する事が可能です。例では、内部および外部の両方の接続をサポートするために、 Identity Manager を使用しています。内部接続の場合は、Active Directory のユーザー名とパスワードが十分です。しかし外部接続は、2要素認証を必要とするでしょう。SecurIDIdpAdapterは、そのために使用することができます。

ネットワーク範囲 をクリックします。

 

 

ネットワーク範囲

 

すべての範囲 と呼ばれるネットワーク範囲は、デフォルトで作成されます。このネットワークの範囲は、0.0.0.0 から 255.255.255.255 までのインターネット上で利用可能なすべてのIPアドレスが含まれます。展開の際、単一のアイデンティティプロバイダインスタンスを持っている場合でも、 IP アドレスの範囲を変更し、デフォルトのネットワーク範囲に特定の IP アドレスを除外または含め、範囲を追加することができます。特定の目的のために適用することができ、特定のIPアドレスと他のネットワークの範囲を作成することができます。ネットワークトポロジに基づいて、VMware Identity Manager の展開のためにネットワークの範囲を定義します。

管理 をクリックします。

 

 

ポリシー

 

ポリシー をクリックします。

 

 

Default Access Policy Set

 

default_access_policy_set をクリックします。

 

 

ポリシー ルール

 

画面をスクロールさせ、グリーンのプラスアイコンを選択します。

 

 

ポリシー ルールの追加

 

VMware Identity Manager のポリシーは、ユーザーが自分のアプリのポータルにアクセスしたり、指定したWebアプリケーションを起動するために、条件を指定するルールのセットです。管理者は、ポリシーの一部としてルールを作成します。ポリシー内の各ルールは、次の情報を指定することができます。

■ 企業ネットワークの内部または外部などのユーザーがログインできるネットワーク範囲。

■ このポリシーによってアクセスが許可されるデバイスタイプ。

■ 有効な認証方法が適用される順序。

■ 認証の有効時間数。

■ カスタムのアクセス拒否メッセージ。

 

 

コンテンツ アクセス

 

各ルールでは、ネットワークの範囲を指定することにより、ユーザーベースを決定します。ネットワーク範囲は、一つ以上のIP範囲から設定します。ルールが管理するデバイスの種類は、Webブラウザ、Identity Managerのクライアントアプリ、iOS、Android、Windows 10、Mac OS X およびすべてのデバイスタイプです。

コンテンツにアクセスできるデバイスタイプ、およびそのタイプのデバイスによるすべての認証リクエストでポリシールールを使用するように指定し、ルールを構成できます。

 

 

認証方法

 

ポリシールールの中で、認証方法を適用する順序を定めることができます。認証方法はリストに書かれた順に適用されます。ポリシーに定められた認証方法とネットワーク範囲に合致する、最初のアイデンティティ・プロバイダ(認証者)・インスタンスが選択され、ユーザー認証要求がアイデンティティ・プロバイダ・インスタンスに認証のため転送されます。認証が失敗すると、リストにある次の認証法が選択されます。証明書認証を使う場合、この方法がリスト内の最初の認証法でなければなりません。

サインインする前に2つの認証法で資格情報を渡すことをユーザーに要求するよう、アクセスポリシールールを設定できます。片方または両方の認証法が失敗し、代替法が設定されているとき、ユーザーは次の設定された認証法で資格情報を入力するよう求められます。以下の2つのシナリオで、この認証の連携がどのように働くかを記載しています。

■ 最初のシナリオでは、アクセスポリシールールはパスワードを使用して、Kerberos証明書でユーザーに認証を要求するように設定されています。フォールバック認証は、認証のためのパスワードとRADIUS証明書を要求するように設定されています。ユーザーは正しいパスワードを入力しますが、正しいKerberos認証資格情報を入力することができません。ユーザーが正しいパスワードを入力したので、フォールバック認証要求はRADIUS証明書のみです。ユーザーはパスワードを再入力する必要はありません。

■ 2番目のシナリオでは、アクセスポリシールールはユーザーへ自身のパスワードとKerberos 資格情報を使用して認証を要求されるように構成されています。フォールバック認証は、 RSAのSecurID および RADIUS を要求するように設定されています。ユーザーは正しいパスワードを入力しますが、正しいKerberos認証資格情報を入力することができません。フォールバック認証要求は、RSA SecurID証明書およびRADIUS 証明書の両方を要求します。

続けるには Cancel をクリックします。

 

 

カタログ

 

カタログ を選択します。

 

 

カタログ

 

カタログは、ユーザーに割り当てることができるすべてのリソースのリポジトリとなります。リソースには、HorizonアプリケーションやHorizonデスクトップへのアクセス資格は、Horizon環境から取得するので、追加のセキュリティ設定は不要です。このため、ユーザーのアクセス制御を行う際、別々のコンソールを利用して設定する必要がありません。

ThinAppのリソース割り当ては、ユーザー単位で行うことができます。ThinAppアプリケーションのアクセス制御を設定する際に、Active Directoryのグループを指定しなくてもよくなるため、アプリケーションへのアクセス制御の設定をより柔軟に行うことが可能になります。Identity Manager Desktop エージェントをThinAppパッケージが管理されるWindowsのエンドポイントにインストールする必要があります。

VMware Identity Managerでは、クラウド上のWebアプリケーションへのアクセスもカタログに含めることができます。クラウドアプリケーションのカタログ例としては、AWS、Box.Net、Concur、Dropbox、O365、Salesforceなどが挙げられます。100近くのアプリケーションが含まれます。

さらに、VMware Identity Managerは、AirWatchインスタンスと統合することができ、統一化されたカタログを作成することが可能です。

カテゴリー機能を利用することによって、リソースをグループにまとめることができます。ユーザーは特定のカテゴリーを選択することによって、カテゴリー内のアプリケーションリストを簡単に表示させることができるようになります。

 

7-Zip 9.20 をクリックします。

 

 

7-Zip アプリケーション情報

 

リソースへのアクセスは、Active Directoryグループまたはユーザーエンタイトルメントによって制御されています。これを利用したい場合、ユーザーがカタログに移動しアプリケーションを有効化する事でユーザーアクティベートされます。管理者は、ユーザーのポータルに直接アプリケーションのリンクをプッシュし、その設定を自動的に変更することができます。

Catalog を選択します。

 

 

Calculator を選択

 

Calculator を選択します。

 

 

Calculator

 

アプリケーションとデスクトップが有効化された Horizon が Identity Manager と同期している場合、ユーザーとグループの資格も取得されます。これがグループまたは個々の資格を変更するオプションがない理由です。変更が行われる必要がある場合は、VMware Horizon Administrator コンソール経由でそれらを行う必要があり、次の同期サイクル時に Identity Manager で変更されます。

officer, chief (cso@corp.local) を選択します。

 

 

CSO の資格

 

Identity Managerの中でユーザーにどのような資格があるかについて、確認することもできます。画面では、CSOユーザーがウェブ・アプリやHorizonデスクトップ、RDSアプリケーション、 ThinApp パッケージ へのアクセス権が付与されていることを確認できます。

admin admin を選択します。

 

 

管理コンソールからのログアウト

 

  1. [ログアウト] を選択します。
  2. [Workspace ONE] タブを閉じます。

これでIdentity Manager Securityに関するレッスンの終了となります。

 

Identity Manager ユーザー (Workspace ONE) ポータル


モバイルクラウド時代、多くの場合にITは会社所有ではないデバイスを利用しているモバイルのユーザーを管理してサポートしなければなりません。ユーザーの生産性のために、アプリケーションやデータにアクセスする方法に一貫性がなければなりません。どこからでもあっても、複数のユーザーアカウント、パスワード、およびその他の複雑な認証方法の複雑さなしに"ただ仕事"できることが必要です。

シングルサインオンにより、仕事に使用する多くのアプリケーションやシステムにアクセスするための複数のユーザー名やパスワードを覚えておく必要がなくなります。サービスデスクへの問い合わせの手間と費用の削減だけでなく、ユーザーの識別情報の統合は、アプリケーションへのアクセスを一箇所で無効にして、従業員の離職の際のデータ漏洩から保護します。VMware Identity Manager(Workspace ONEとしても呼ばれる)は、アイデンティティプロバイダ(IDP)またはトークンジェネレーターを含みますが、どんなデバイスの種類でも利用可能な1つの便利なカタログとランチャにシングルサインオンアプリケーションを集約する場所であってもよく、既存のアイデンティティプロバイダと統合することができます。


 

Identity Manager Desktop アプリケーションの起動

 

Identity Manager Desktop アプリケーションは、ThinAppアプリケーションを管理し、端末に展開できるようにしたい場合に必要です。デフォルトでは、セッションにユーザーがログインしたときにアプリケーションが自動的に起動しますが、このラボでは学習のために手動で行うように構成しています。

  1. [Windowsのスタートメニュー] を選択します。
  2. [All Programs] を選択します。
  3. [VMware] > [Identity Manager Desktop] フォルダにある [Identity Manager Desktop] を選択します。

 

 

Identity Manager Desktopへのログイン

 

CSOとしてログインします。

  1. ユーザー名: cso
  2. パスワード: VMware1!
  3. [Sign in] を選択します。

 

 

Main ConsoleでGoogle Chromeの起動

 

Main ConsoleでGoogle Chromeをダブルクリックします。

 

 

Workspace ONEの選択

 

ブックマークバーの [Workspace ONE] を選択します。

 

 

ログイン

 

以下の資格でWorkspace ONEにログインします。

  1. ユーザー名: cso
  2. パスワード: VMware1! 
  3. [ログイン] をクリックします。

 

 

Workspace ONEのカタログ

 

いったんWorkspace ONEにログインすると、CSOユーザーがランチャのページ上にアプリケーションを持っていないことがわかります。管理者がWorkspace ONEでアプリケーションを定義するときに、自動的にアプリケーションを有効にするか、ユーザーにアクティベーションさせるかのオプションがあります。自動が有効になっていると、ログイン時にユーザーがランチャのページでアプリケーションが表示されます。ユーザーによるアクティベーションを選択したアプリケーションは、ユーザーが最初にカタログを参照し、使用するアプリケーションを追加する必要があります。このラボ環境では、すべてのアプリケーションが、ユーザーによるアクティベーションに設定されています。

1. [カタログ] を選択します。

 

 

Workspace ONEのカタログ

 

カタログには、ユーザーに資格付与されたすべてのアプリケーションが一覧表示されます。以下のような多くの種類のアプリケーションがサポートされています。

- Web

- SaaS

- ThinApps

- VMware Horizon デスクトップ と 公開アプリケーション

- Citrix XenDesktopとXenAppのアプリケーション

- IOSとAndroidのネイティブアプリケーション

ユーザーが探しているアプリケーションを簡単に見つけるために、管理者はアプリケーションをカテゴリにグループ分けすることもできます。今回のラボ環境では、4つのカテゴリが作成されています。

- Horizon Applications

- Horizon Desktops

- ThinApp

- Web

アプリケーションを有効にするためには、使用したいアプリの [ADD] ボタンをクリックする必要があります。次のアプリケーションを追加します。

  1. 7-Zip 9.20
  2. Calculator
  3. VMware vCenter Console
  4. Windows 10 x64 Desktop

 

 

Workspace ONEのカタログ

 

ランチャー を選択します。

 

 

Workspace ONEのランチャー

 

カタログから追加されたアプリケーションは、Workspace ONEのランチャーのページで利用できるようになりました。

 

 

ThinAppのポップアップメッセージ

 

ハードウェア速度および利用可能なリソースによっては、Main Consoleのシステムトレイ上にあるポップアップメッセージが表示されない場合があります。7-Zip 9.20 は ThinAppアプリケーションです。Workspace ONEでThinAppアプリケーションを使用するためには、端末にVMware Identity Managerエージェントをインストールする必要があります。VMware Identity Managerエージェントは、ThinAppアプリケーションのインストール、削除 およびアクセスの検証を担当します。ThinAppアプリケーションは、自己完結型の.EXEファイルであり、実際に実行される従来型のインストールはされないことに注意してください。アプリケーションのファイルの種類の関連付けを(もしあれば)有効にするために、VMware Identity Managerエージェントは、ワークステーションにThinAppパッケージを登録し、すべての.EXEをダウンロードします。

 

 

7-Zip File Managerの起動

 

  1. [7-Zip File Manager] をダブルクリックします。
  2. もし [Open File – Security Warning] ウインドウが表示されたら、[Run]ボタンを選択します。

 

 

7-Zip File Manager

 

7-Zip File Managerが起動し、Main Consoleのデスクトップ上でネイティブにインストールされたアプリケーションのように実行されます。

1. 7-Zip File Managerを[X]をクリックして閉じます。

 

 

Calculator(電卓)の起動

 

1. [Calculator] をダブルクリックします。

Calculatorは、Horizonの公開アプリケーションで、Workspace ONEと同期されています。Horizon環境との同期によって、Workspace ONEはユーザーとグループの資格とデスクトップや公開アプリケーションの完全なリストを取得することができます。Workspace ONEは、弊社(VMware社)のクラウドサービスであるHorizon Airを含む複数のHorizon環境と同期することができます。これによって、ユーザーにすべてのHorizonのリソースにアクセスするための1つの中央の場所を提供します。Horizonリソース(デスクトップまたは公開アプリケーション)を選択すると、VMware Horizon Viewクライアントは、(URLに似た)URIを受けてセッションを起動します。シングルサインオンは、ユーザーがログインする際に自分のWindows資格情報を入力する必要がないように、SAMLやTrueSSOを通じて有効になっています。

起動が成功すると、CalculatorはローカルのWindowsアプリケーションと同じように開いて動作します。

2. [Calculator] の [X] をクリックして閉じます。

3. [VMware vCenter...] をダブルクリックします。

 

 

VMware vCenterのシングルサインオン

 

VMware vCenterコンソールのアプリケーションは、Workspace ONEの標準的なWebアプリケーションとして定義されています。Webアプリケーションを起動すると、新しいブラウザのタブがアプリケーションを起動するために開きます。これは、ユーザーが複数のアプリケーションを起動する場合にナビゲートを容易にし、簡単にWorkspace ONEに戻ることができます。シングルサインオンは、このアプリケーションで有効にされていないため、この例では、ユーザーがアプリケーションを使用するには、有効な資格情報を入力する必要があります。良いユースケースは、端末とブラウザ間でのローミングやブックマークを気にすることがないように、イントラネットとユーザーの関心のある他のサイトへのリンクを提供することです。

1. [Workspace ONE]タブを選択します。

 

 

Windows 10 x64 デスクトップの起動

 

[Windows 10 x64…] をダブルクリックします。

 

 

Windows 10 x64 デスクトップ

 

電卓を起動すると同様に、VMware Identity Managerは、デスクトップセッションを起動するために、Main ConsoleのローカルにインストールされたHorizonクライアントにURIを送りました。 SAMLトークンは、ユーザーのデスクトップにシングルサインオンできるようにHorizon View ブローカーに提供されました。

  1. [Options] を選択します。
  2. [Disconnect and Log Off] を選択します。
  3. [OK] を選択します。

 

 

Workspace ONEのサインアウト

 

  1. [chief officer] を選択します。
  2. [サインアウト] を選択します。

セキュリティ観点から、Workspace ONEは、ユーザーにとって中央の場所からすべてのアプリケーションを簡単に起動できるようになります。また、複数の資格情報を覚えておく必要がありません。

ITは、単一のアプリケーションや環境全体へのアクセスを簡単に削除することができます。

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: HOL-1751-MBL-5-JA

Version: 20161106-054006