はじめに

VMware Cloud on AWS におけるユーザーの権限管理を AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) と連携させて管理を行うという方法については sanjushi003 さんにて既に連携方法が公開されております。（sanjushi003 さん、いつも参考にしてます！）

今回 AWS Managed Microsoft AD ではなく、Simple AD と連携してユーザー権限管理を行う事ができないか？とご質問を頂いたので、実際の検証結果を含めてまとめてみます。

vmc.localドメインにはユーザーの追加ができない

VMware Cloud on AWS では、vmc.local ドメインのユーザーとして、cloudadmin のみを提供します。

以下のスクリーンショットは、「VMware KB: [VMC on AWS] cloudadmin@vmc.local 以外のユーザーが追加できない」からの抜粋ですが、このスクリーンショットの通り、vmc.local ドメインには追加のユーザーが作成できません。

つまり、アクセス権を付与して細かい権限管理をするには LDAP ドメインを SDDC の vCenter Server の ID ソースとして追加する必要があります。

Simple ADとは？

Simple AD は、AWS Directory Service のオプションのうちの１つで AWS マネジメントコンソールや API を介して簡単にセットアップすることができます。

以下 AWS のドキュメントページからの抜粋です:

Simple AD は、AWS Directory Service が提供する Microsoft Active Directory 互換のディレクトリであり、Samba 4 を使用します。Simple AD は、ユーザーアカウント、グループメンバーシップ、Linux ドメインまたは Windows ベースの EC2 インスタンスの結合、Kerberos ベースの SSO、グループポリシーなどの、基本的な Active Directory の機能をサポートしています。
Simple AD はクラウド内のスタンドアロンなディレクトリです。ユーザー ID の作成や管理、アプリケーションへのアクセスの管理を行います。基本的な Active Directory の機能が必要な、多くの使い慣れた Active Directory 対応のアプリケーションやツールを使用できます。

Simple ADでは「スモール」と「ラージ」のサイズが選択でき、AWS Managed Microsoft AD に比べて低コストで利用できることがメリットと言えます。
本稿執筆時点では、Simple AD は東京リージョンでスモールサイズを利用した場合、1時間あたり 0.08 USD です。（最新の情報は料金ページを参照下さい）

この Simple AD を ID ソースとして利用できるか今回検証してみました。

全体アーキテクチャ概要

今回は一番シンプルな方法として、Elastic Network Interface (ENI) 経由で接続する Connected VPC 内に Simple AD をデプロイして接続をします。

尚、ENI 経由での接続の詳細については、以下の記事を参照下さい。

Simple AD設定およびvCenter連携

Connected VPC 内で以下の通り Simple AD を構成しました。

test.localドメイン内にstudent001とstudent002というユーザーを作成しています。

Single Sign-On の設定を追加するには [メニュー（三本線）] - [管理] から [Signle Sign-On] - [設定] をクリックし、[ID ソース] タブから [追加] ボタンをクリックします。

以下のように設定をします。ID ソースタイプは "LDAP を介した Active Directory" を使用します。
プライマリサーバ URL とセカンダリサーバ URL は Simple AD の DNS アドレスを使って ldap://Simple ADのDNSアドレス の形式で入力します。後続の権限設定のためには一度ログアウトが必要でした。