免責事項： これは英文の記事「HTML5 UI will not be accessible through NAT IP of VCSA」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

• HTML5 UI (vSphere Client) にアクセスすると、次のエラーメッセージが表示されます。 Failed to process WebSSO metadata: Invalid SP alias
• /var/log/vmware/vsphere-ui/vsphere_client_virgo.log に以下のエラーメッセージが記録されます。
  
  [YYYY-MM-DDTHH:MM:SS.###Z] [ERROR] http-nio-####-exec-# ######## ###### ###### com.vmware.vsphere.client.security.websso.MetadataGeneratorImpl Failed to process WebSSO metadata java.lang.IllegalArgumentException: Invalid SP alias.

VMware vCenter Server 6.7.x

VMware vCenter Server 7.x

この問題は NAT などの透過的でないネットワーク中間デバイスを経由して、クライアントが vSphere Client アプリケーションにアクセスした場合に発生します。
この場合、リクエストのサーバー名部分が中間デバイスのアドレスとなり、SSO でサービスプロバイダー (SP) のエイリアスとして登録できません。
その結果、FQDN で vSphere Client にアクセスした場合を除き、サービスプロバイダーの登録が拒否されるため、すべてのログイン試行が失敗します。
これは元々セキュリティ上の理由で行われていたものですが、vCenter Server がプライベートネットワークの一部であり、その IP アドレスが外部から見えないような実際の展開シナリオにおいては問題となる場合があります。

この問題を解決するには、以下の手順を実行します。

1. vCenter Server マシンに SSH でログインし、/etc/vmware/vsphere-ui/webclient.properties ファイルを編集します。

2. sso.serviceprovider.alias.whitelist という名前のプロパティを探します。

3. プロパティのコメントアウトを解除し、NAT ルーターの IP アドレスを追加します。
   
   sso.serviceprovider.alias.whitelist=<NAT-router-IP>

4. H5 Client サービスを再起動します。