免責事項：これは英文の記事「VCF 9.0 login failure with vim.fault.NoPermission using Entra ID and JIT provisioning」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

VMware Cloud Foundation(VCF) 9.0 環境において、VMware Identity Broker(VIDB) を使用した Entra ID(OIDC) 認証でのログインが失敗する。

事象:

• vCenter へのログイン時に vim.fault.NoPermission エラーが発生する
• Just-In-Time(JIT) によるユーザ作成時に groupNames および groupIds 配列が空 [] であることが tokenservice.log へ記録される
• トークンの検証直後に vim.fault.NoPermission エラーが vpxd.log へ記録される

VMware Cloud Foundation (VCF) 9.0

一連のプロビジョニングにおいて、ユーザプロビジョニングが JIT へ設定される一方、グループプロビジョニングが手動/事前プロビジョニングと設定される不一致により本事象が発生します。このことにより Identity broker は Entra ID トークンにおけるグループクレイムを無視します。

この問題を解決するためには、Identity プロバイダ設定においてユーザとグループ両方のプロビジョニングを Just-In-Time(JIT) へ設定します。

1. SDDC マネージャもしくは vCenter(VCF SSO) の管理インターフェースへログイン
2. インベントリ > 管理 > Identity プロバイダ へ進む
3.  Entra ID(OIDC) 設定を編集
4. プロビジョニングセクションへ進む
5. ユーザプロビジョニングを JIT へ設定
6. グループプロビジョニングを JIT へ設定
7. グループクレイム名が EntraID で設定されている属性名と正確に一致しているかを確認する
8. 設定を保存しログインが可能かを確認する