VMware Cloud Director Service Provider Admin Portal을 사용하여 OpenID Connect ID 제공자를 사용하도록 시스템 구성

OIDC(OpenID Connect) ID 제공자의 사용자 및 그룹을 VMware Cloud Director 시스템 조직에 가져오려면 이 OIDC ID 제공자를 사용하여 시스템 조직을 구성해야 합니다. 가져온 사용자는 OIDC ID 제공자에 설정된 자격 증명을 사용하여 시스템 조직에 로그인할 수 있습니다.

OAuth는 사용자 액세스를 위임하는 개방형 페더레이션 표준입니다. OpenID Connect는 OAuth 2.0 프로토콜 위에 있는 인증 계층입니다. 클라이언트는 OpenID Connect를 사용하여 인증된 세션 및 최종 사용자에 대한 정보를 받을 수 있습니다. VMware Cloud Director 셀에서 OAuth 인증 끝점에 연결할 수 있어야 합니다. 그래야 공용 ID 제공자 또는 제공자 관리 셀을 사용하는 경우 더 적합합니다.

테넌트가 애플리케이션에서 대신 사용할 수 있는 API 액세스 토큰을 생성하고 발급하도록 허용할 수 있습니다.

제공한 JWKS 끝점에서 OIDC 키 구성을 자동으로 새로 고치도록 VMware Cloud Director를 구성할 수 있습니다. 키 새로 고침 프로세스의 빈도와 순환 전략을 구성하여 VMware Cloud Director에서 새 키를 추가할지, 이전 키를 새 키로 교체할지 아니면 특정 기간 후에 이전 키를 만료할지 결정할 수 있습니다.

참고: 외부 ID 제공자와의 성공적인 VMware Cloud Director 통합을 위해 값과 설정이 올바른지 확인하고 구성이 적절하고 정확히 이루어지도록 하려면 해당 ID 제공자의 제품 설명서도 참조하십시오.

VMware Cloud Director는 이벤트 항목 com/vmware/vcloud/event/oidcSettings/keys/modify에서 성공 및 실패한 키 새로 고침에 대한 감사 이벤트를 생성합니다. 실패한 키 새로 고침에 대한 감사 이벤트에는 실패에 대한 추가 정보가 포함되어 있습니다.

팁:

버전 10.4.2 이상의 경우 VMware Cloud Director의 조직에 SAML 또는 OIDC가 구성되어 있으면 UI에 Single Sign-On으로 로그인 옵션만 표시됩니다. 로컬 사용자로 로그인하려면 https://vcloud.example.com/tenant/tenant_name/login 또는 https://vcloud.example.com/provider/login으로 이동합니다.

SSO 로그인 버튼이 있는 VMware Cloud Director 로그인 페이지.

프로시저

위쪽 탐색 모음에서 관리를 선택합니다.
왼쪽 패널의 ID 제공자 아래에서 OIDC를 클릭합니다.
OIDC를 처음으로 구성하는 경우에는 클라이언트 구성 리디렉션 URI를 복사한 후 이를 사용하여 OpenID Connect 표준을 준수하는 ID 제공자(예: VMware Workspace ONE Access)에 대한 클라이언트 애플리케이션 등록을 생성합니다.
OIDC ID 제공자 구성 중에 사용해야 하는 클라이언트 ID 및 클라이언트 암호를 얻으려면 이 등록이 필요합니다.
구성을 클릭합니다.
OpenID Connect가 활성 상태인지 확인하고 OIDC 서버 등록에서 클라이언트 ID와 클라이언트 암호 정보를 입력합니다.
(선택 사항) 잘 알려진 끝점의 정보를 사용하여 구성 정보를 자동으로 채우려면 구성 검색 토글을 켜고 VMware Cloud Director가 인증 요청을 보내는 데 사용할 수 있는 제공자 사이트의 URL을 입력합니다.
다음을 클릭합니다.
6단계에서 구성 검색을 사용하지 않은 경우 끝점 섹션에 정보를 입력합니다.
1. 끝점 및 발급자 ID 정보를 입력합니다.
2. VMware Workspace ONE Access를 ID 제공자로 사용하는 경우에는 SCIM을 액세스 유형으로 선택합니다. VMware Cloud Director 10.4.1부터 SCIM 옵션은 더 이상 사용되지 않습니다.
  기타 ID 제공자의 경우 기본 사용자 정보 선택을 그대로 두면 됩니다.
3. UserInfo 끝점과 ID 토큰의 클레임을 결합하려면 ID 토큰 선호 토글을 켭니다.
  ID 제공자는 UserInfo 끝점에 설정된 필수 클레임 중 일부만 제공합니다. ID 토큰 선호 토글을 켜면 VMware Cloud Director가 두 소스 모두에서 클레임을 가져와서 사용할 수 있습니다.
4. 허용되는 최대 클럭 오차를 입력합니다.
  최대 클럭 오차는 클라이언트와 서버 간에 허용되는 최대 시간 차이입니다. 이 시간은 토큰을 확인할 때 타임 스탬프의 작은 시간 차이를 보정합니다. 기본값은 60초입니다.
5. 다음을 클릭합니다.
6단계에서 구성 검색을 사용하지 않은 경우 범위 정보를 입력하고 다음을 클릭합니다.
VMware Cloud Director는 범위를 사용하여 사용자 세부 정보에 대한 액세스 권한을 부여합니다. 클라이언트가 액세스 토큰을 요청하면 범위는 이 토큰이 사용자 정보에 액세스하는 데 사용할 수 있는 권한을 정의합니다.
사용자 정보를 액세스 유형으로 사용하는 경우 클레임을 매핑하고 다음을 클릭합니다.
이 섹션을 사용하여 VMware Cloud Director가 사용자 정보 끝점에서 가져온 정보를 특정 클레임에 매핑할 수 있습니다. 클레임은 VMware Cloud Director 응답의 필드 이름에 대한 문자열입니다.

VMware Cloud Director에서 OIDC 키 구성을 자동으로 새로 고치려면 자동 키 새로 고침 토글을 설정합니다.

6단계에서 구성 검색을 사용하지 않은 경우 키 새로 고침 끝점을 입력합니다.
키 새로 고침 끝점은 JWKS(JSON Web Key Set) 끝점이며 VMware Cloud Director가 키를 가져오는 끝점입니다.
키 새로 고침 빈도를 선택합니다.
1시간에서 최대 30일까지 시간 단위로 기간을 설정할 수 있습니다.

키 새로 고침 전략을 선택합니다.

옵션	설명
추가	수신 키 집합을 기존 키 집합에 추가합니다. 병합된 집합의 모든 키가 유효하며 사용 가능합니다. 예를 들어 기존 키 집합에 A, B, 및 D 키가 포함되어 있고 수신 키 집합에 B, C 및 D 키가 포함되어 있는 경우 키를 새로 고치면 새 집합에는 A, B, C 및 D 키가 포함됩니다.
바꾸기	기존 키 집합을 수신 키 집합으로 바꿉니다. 예를 들어 기존 키 집합에 A, B, 및 D 키가 포함되어 있고 수신 키 집합에는 B, C 및 D 키가 포함되어 있는 경우 키를 새로 고치면 A 키가 C 키로 대체됩니다. 수신 키인 B, C 및 D 키는 이전 집합과 겹침 없이 새로운 유효한 키 집합이 됩니다.
다음 이후에 만료	기존 키 집합과 수신 키 집합 간에 겹치는 기간을 구성할 수 있습니다. 1시간에서 최대 1일까지 시간 단위로 설정할 수 있는 다음 기간 후 키 만료를 사용하여 겹치는 시간을 구성할 수 있습니다. 키 새로 고침 실행은 매 시간의 정각에 시작됩니다. 키 새로 고침이 발생하면 VMware Cloud Director에서 수신 집합에 포함되지 않은 기존 키 집합의 키를 만료되는 것으로 태그 지정합니다. 다음 키 새로 고침 실행 시 VMware Cloud Director는 만료되는 키에 대한 사용을 중지합니다. 수신 집합에 포함된 키만 유효하며 사용 가능합니다. 예를 들어 기존 키 집합에 A, B, 및 D 키가 포함되어 있고 수신 집합에 B, C 및 D 키가 포함되어 있는 경우 기존 키가 1시간 후에 만료되도록 구성하면 1시간의 겹침이 발생하고 이 시간 동안 두 키는 모두 유효합니다. VMware Cloud Director가 A 키를 만료 예정으로 표시하고 다음 키 새로 고침이 실행될 때까지 A, B, C 및 D 키를 사용할 수 있습니다. 다음 실행 시 A 키는 만료되고 B, C 및 D 키만 계속 작동합니다.

옵션

설명

추가

수신 키 집합을 기존 키 집합에 추가합니다. 병합된 집합의 모든 키가 유효하며 사용 가능합니다.

예를 들어 기존 키 집합에 A, B, 및 D 키가 포함되어 있고 수신 키 집합에 B, C 및 D 키가 포함되어 있는 경우 키를 새로 고치면 새 집합에는 A, B, C 및 D 키가 포함됩니다.

바꾸기

기존 키 집합을 수신 키 집합으로 바꿉니다.

예를 들어 기존 키 집합에 A, B, 및 D 키가 포함되어 있고 수신 키 집합에는 B, C 및 D 키가 포함되어 있는 경우 키를 새로 고치면 A 키가 C 키로 대체됩니다. 수신 키인 B, C 및 D 키는 이전 집합과 겹침 없이 새로운 유효한 키 집합이 됩니다.

다음 이후에 만료

기존 키 집합과 수신 키 집합 간에 겹치는 기간을 구성할 수 있습니다. 1시간에서 최대 1일까지 시간 단위로 설정할 수 있는 다음 기간 후 키 만료를 사용하여 겹치는 시간을 구성할 수 있습니다.

키 새로 고침 실행은 매 시간의 정각에 시작됩니다. 키 새로 고침이 발생하면 VMware Cloud Director에서 수신 집합에 포함되지 않은 기존 키 집합의 키를 만료되는 것으로 태그 지정합니다. 다음 키 새로 고침 실행 시 VMware Cloud Director는 만료되는 키에 대한 사용을 중지합니다. 수신 집합에 포함된 키만 유효하며 사용 가능합니다.

예를 들어 기존 키 집합에 A, B, 및 D 키가 포함되어 있고 수신 집합에 B, C 및 D 키가 포함되어 있는 경우 기존 키가 1시간 후에 만료되도록 구성하면 1시간의 겹침이 발생하고 이 시간 동안 두 키는 모두 유효합니다. VMware Cloud Director가 A 키를 만료 예정으로 표시하고 다음 키 새로 고침이 실행될 때까지 A, B, C 및 D 키를 사용할 수 있습니다. 다음 실행 시 A 키는 만료되고 B, C 및 D 키만 계속 작동합니다.

6단계에서 구성 검색을 사용하지 않은 경우 ID 제공자가 토큰에 서명하는 데 사용하는 개인 키를 업로드합니다.
저장을 클릭합니다.

다음에 수행할 작업

com/vmware/vcloud/event/oidcSettings/keys/modify 이벤트 항목을 구독합니다.
마지막 실행과 마지막으로 성공한 실행이 동일한지 확인합니다. 실행은 각 시간의 정각에 시작합니다. 마지막 실행은 마지막 키 새로 고침 시도의 타임스탬프입니다. 마지막으로 성공한 실행은 마지막으로 성공한 키 새로 고침의 타임스탬프입니다. 타임스탬프가 서로 다르면 자동 키 새로 고침이 실패하고 감사 이벤트를 검토하여 문제를 진단할 수 있습니다.