概要
VMware vCenterのセキュリティ対策として、外部アイデンティティプロバイダ(IdP)との連携を行い、多要素認証を取り入れたログイン環境を構築する。
管理者アカウントの統制強化と操作ログの個人特定を可能にし、セキュリティおよび監査対応レベルの向上を実現する。
- vCenterへの外部IdP(EntraID)連携設定
- ユーザー連携用の中継サーバ構築
- EntraIDへのSCIM・OIDCアプリケーション作成
- 管理者アカウント運用ポリシーの策定
SCIM構成図(ユーザー連携)
MFA認証フロー図
本構成は、NIST SP 800-63B の認証強化の考え方、および NIST SP 800-53 Rev.5 における特権アカウントの多要素認証・監査性向上の考え方を参照し、IPA が推奨する多要素認証、個別アカウント運用、アクセスログ管理の方針に沿って設計しています。
導入事例
抱えている課題
対象ユーザー規模:管理者・運用担当者 約7名
- 従来はvCenterログインがパスワードのみの認証のため、パスワード漏洩時の侵害リスクが高い。
- 1つの管理者ユーザーを複数人で利用しているため、ログから誰が操作したか判別が出来ない。
システム構成
- VMware vCenter:2台(v8.0 Update 3)
- 認証基盤:Microsoft Entra ID
- 認証方式:OIDC
- ユーザープロビジョニング:SCIM
- 中継サーバ:1台(ユーザー同期用)
対応
中継サーバを構築し、EntraIDからvCenterへ管理者ユーザーを連携する設定を行う
vCenterとEntraIDとの外部IdP連携設定を行い、ログイン時のMFAを必須にする
管理者ユーザーの運用方針を設計する
導入効果
- vCenterログイン時のMFA必須化により不正ログインリスクを低減
- 管理者アカウントの個別化により操作ログの個人特定が可能
- Microsoft Entra IDによるID管理の一元化を実現
| 要件定義 | 対象ユーザー、MFA方式、IdP選定 |
|---|---|
| 検証環境作成 | 手順、影響範囲確認 |
| 基本設計 | 基本設計書作成 |
| 詳細設計 | vCenter、EntraIDおよび中継サーバの詳細設計書作成 |
| テスト実施 | ユーザーが連携されること、MFAが要求されることを確認 |
| 運用手順書 | ユーザー追加・削除時の手順 |
価格例
期間
2か月
1か月目 要件定義、検証環境構築、基本設計
2か月目 詳細設計、設定作業、テスト実施、運用手順書
料金
2,000,000円(税抜き、2025年度実績)