免責事項：これは英文の記事「Unable to log in to vCenter with Entra ID credentials」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

• Entra ID ユーザが vCenter へログインする際、"Access Denied" エラーで失敗する
• vCenter にて /var/log/vmware/vc-ws1a-broker/federation-service.log へ以下のようなログが出力される

  ERROR vCenter.example.com:federation (vert.x-eventloop-thread-#) [-;-;-;-;-;-] com.vmware.vidm.federation.authenticator.oidc.OidcAuthenticationService - Token endpoint failed io.vertx.core.impl.NoStackTraceThrowable: invalid_client: AADSTS7000222: The provided client secret keys for app '####-####-####-####-#############' are expired...
  
  または

  ERROR vcenter.example.com:federation (vert.x-eventloop-thread-#) [-;-;-;-;-;-] com.vmware.vidm.federation.authenticator.oidc.OidcAuthenticationService - Token endpoint failed io.vertx.core.impl.NoStackTraceThrowable: invalid_client: AADSTS7000215: Invalid client secret provided. Ensure the secret being sent in the request is the client secret value, not the client secret ID, for a secret added to app

VMware vCenter

Microsoft Azure 上に存在するクライアントシークレットキーが失効している、もしくはそれらの値が vCenter へ設定が正しく追加されていない事が原因です。

この問題を解決するために以下の手順を実施します。

1. Azure Portal へログイン:
   
   • 自身の認証情報を使用して https://portal.azure.com へログイン
     
     
2. アプリの登録を確認:
   

   • 左側のメニューから "Azure Active Directory." を選択

   • "管理" 配下の "アプリの登録" を選択

   • アプリ ID '####-####-####-####-##########' に対応するアプリ登録を見つけて選択

3. 新しいクライアントシークレットを追加:
   

   • "管理" 配下から "証明書とシークレット" を選択

   • "クライアントシークレット" セクションから "新しいクライアントシークレット" をクリック

   • 新規のクライアントシークレットに対して詳細を追加する(例 "新規クライアントシークレット")

   • "追加" をクリック

4. vCenter を新しいクライアントシークレットへ更新:

   • 新規のクライアントシークレットを作成後、表示されている値をコピー

   • vCenter の設定を新しいクライアントシークレット値で更新

• 式のクライアントシークレットを再設定する手順は添付のドキュメントを参照ください。詳細な手順は14ページの手順27に記載があります。

追加の情報は How to Enable Entra ID for vCenter Server を参照ください。

• 状況によって以下のようなログが出力されることがあります。

Caused by: io.vertx.core.impl.NoStackTraceThrowable: invalid_client: AADSTS7000215: Invalid client secret provided. Ensure the secret being sent in the request is the client secret value, not the client secret ID, for a secret added to app 'xxxxxxxxxxxx'. Trace ID: xxxxxxxxxxxx Correlation ID: xxxxxxxxxxxxxxxx Timestamp: YYYY-MM-DDTHH:MM:SSZ

YYYY-MM-DDTHH:MM:SS,285 WARN  xxxxxxxxxxxxxx:federation (federation-business-pool-0) [CUSTOMER;-;xxxxxxxxxxxxx] xxxxxxxxxxx - Failed to process OIDC authentication
YYYY-MM-DDTHH:MM:SS,285 INFO  xxxxxxxxxxxxxxxxx:federation (federation-business-pool-0) [CUSTOMER;-;xxxxxxxx;-;xxxxxxx] xxxxxxxxxxx - Metric published: com.vmware.vidm.common.metrics.model.Metrics@22161bd3
YYYY-MM-DDTHH:MM:SS,285 INFO  xxxxxxxxxxxxxxx:federation (federation-business-pool-0) [CUSTOMER;-;x.x.x.x;xxxxxxxxxxxxxx;-;xxxxxxxxxxxxxxxxx] com.vmware.vidm.federation.utils.MetricsPublisherUtil - OIDC authentication failed
YYYY-MM-DDTHH:MM:SS,296 INFO  xxxxxxxxxxxxxxxxx:federation (federation-business-pool-0) [CUSTOMER;-;xxxxxx;-;xxxxxxxxxxx] xxxxxxxxxxx - Deny access based on ruleset resolution result for login contextId: xxxxxxxxxxxxxx with reason code: AUTH_FAILED
YYYY-MM-DDTHH:MM:SS,297 INFO  xxxxxxxxxxxxx(federation-business-pool-0) [CUSTOMER;-;xxxxxxxxx;-;xxxxxxxxxxxxxx] com.vmware.vidm.federation.login.LoginEventServiceAspect - Failing login. contextUuid: xxxxxxxxxxxxxxxxxxxx, exception: com.vmware.vidm.federation.login.AccessDeniedException: Access denied with reason code: AUTH_FAILED, isAuthenticationForced: false
YYYY-MM-DDTHH:MM:SS,297 INFO  xxxxxxxxxxxx:federation (federation-business-pool-0) [CUSTOMER;-;xxxxxxx;-;xxxxxxxxxx] com.vmware.vidm.federation.utils.MetricsPublisherUtil - Login failed due to reason: AUTH_FAILED
YYYY-MM-DDTHH:MM:SS,297 INFO  xxxxxxxxxxxx:federation (federation-business-pool-0) [CUSTOMER;-;xxxxxxxxx;-;xxxxxxxx] com.vmware.vidm.federation.exception.handler.LoginExceptionHandler - Access denied for login context: xxxxxxxxxxxx
YYYY-MM-DDTHH:MM:SS,528 INFO xxxxxxxxxxxxx:federation (scheduled-metrics-publisher-1) [-;-;-;-;-;-] xxxxxxxxxxxxxx - Metric published: com.vmware.vidm.common.metrics.model.Metrics@13446751
YYYY-MM-DDTHH:MM:SS,286 INFO  xxxxxxxxxx:federation (vert.x-eventloop-thread-0) [-;-;-;-;-;-] org.bouncycastle.jsse.provider.ProvTlsClient - [client #22 @796be239] disconnected from login.microsoftonline.com:443

もしこの例と合致するログが出力された場合は、問題を解消するために Resolution セクションを実施ください。