사용자는 웹 프록시에 처음 연결할 때 브라우저를 열고 웹 사이트(예: HTTPS 사이트)로 이동합니다. 웹 프록시는 이 트래픽에 대한 SSL 가로채기를 수행하고 인증 서비스에 대한 리디렉션을 반환합니다. 따라서 사용자에게 보안 주의를 수락하도록 지시하는 대신, 끝점에 VMware 루트 인증서를 설치하는 것이 좋습니다.
인증서 다운로드(Download Certificate)를 클릭하고 파일을 호스트 시스템에 저장합니다.
(선택 사항) OpenSSL과 같은 유틸리티를 사용하여 다운로드한 루트 인증서가 전송 중에 변조되지 않았는지 확인합니다. 이 작업은 인증서 지문을 계산하고 Orchestrator에 표시된 것과 비교하여 수행됩니다. 테스트 목적에 따르면 이 단계는 선택 사항일 수 있지만 운영 환경에서는 건너뛰지 않아야 합니다.
SAML 제공자는 Cloud Web Security 프록시 서비스에 사용자를 인증하는 데 필요합니다. 이 요구 사항은 인증된 사용자만 Cloud Web Security에 연결되도록 하고 웹 프록시를 사용하는 사용자의 활동에 대한 운영 인사이트를 제공합니다.
다음 예는 Okta를
Cloud Web Security에 대한 IdP(ID 제공자)로 사용하는 것을 기준으로 합니다. 다음 스크린샷은 Okta에서
Cloud Web Security용 사용자 지정 애플리케이션을 생성한 후 통합을 활성화하는 데 사용되는 세 가지 주요 정보를 강조 표시합니다.
그림 3. VMware 통합을 위한 Okta 구성
위치 - 정의된 SAML 애플리케이션에 대해 IdP에서 제공하는 SSO(Single Sign-On) URL입니다. 이 경우 해당 애플리케이션은 Cloud Web Security입니다.
EntityID – EntityID 또는 "발급자"는 IdP를 검증하기 위한 확인 프로세스의 일부입니다.
인증서 – IdP가 SAML 서비스를 인증하고 권한을 부여하는 데 사용되는 x.509 인증서입니다.
SSO(Single Sign-On) 활성화
CWS에서 IdP를 통합하고 IdP 정보를 구성하려면 다음 단계를 수행합니다.
Cloud Web Security > 구성(Configure) > 엔터프라이즈 설정(Enterprise Settings) > ID 제공자(Identity Provider)로 이동합니다. 다음 화면이 나타납니다.
Single Sign On 토글 버튼을 켜고 다음 세부 정보를 입력합니다.
필드
설명
SAML 서버 인터넷에 액세스할 수 있습니까?(SAML Server Internet Accessible)
SAML 서버 인터넷에 액세스하려면 예(Yes)를 선택합니다.
SAML 제공자(SAML Provider)
목록에서 Okta를 선택합니다.
SAML 2.0 끝점(SAML 2.0 Endpoint)
IdP에서 위치(Location) 정보를 복사하여 붙여 넣습니다.
서비스 식별자(발급자)(Service Identifier (Issuer))
IdP에서 EntityID 정보를 복사하여 붙여 넣습니다.
도메인(Domain)
회사의 도메인(예: vmware.com)을 입력합니다.
참고: 사용자는 이메일 주소를 사용하여 서비스에서 인증을 받습니다. 사용자의 이메일 도메인은 여기에 구성된 도메인과 일치해야 합니다.
SAML 상세 디버깅 사용(Enable SAML Verbose Debugging)
SAML 상세 디버깅을 활성화할지 여부에 따라 예(Yes) 또는 아니요(No)를 선택합니다. 기본적으로 SAML 로그인 문제를 해결하는 경우가 아니면 SAML 디버깅이 비활성화됩니다.
위 특성을 설정한 후 변경 내용 저장(Save Changes) 버튼을 클릭하여 변경 내용을 저장해야 합니다.
인증서 편집(Edit Certificate) 버튼을 클릭하여 CWS에서 IdP 인증서 정보를 구성합니다. 인증서 세부 정보(Certificate Detail) 팝업 창이 나타납니다.
인증서 표시(Show Certificate) 섹션에서 IdP로부터 복사한 인증서 정보를 붙여 넣고 저장(Save)을 클릭합니다.
필요한 모든 IdP 정보를 구성한 후 변경 내용 저장(Save Changes)을 클릭합니다.
