vCenter 페더레이션은 사용자가 자격 증명을 다시 입력하지 않고도 해당 SDDC vCenter Server에 안전하게 인증할 수 있도록 SSO(Single Sign On)를 사용합니다.
SDDC에서 vCenter 페더레이션 기능을 사용하도록 설정하면 VMware Cloud on AWS가 모든 외부 ID 제공자(네이티브 LDAP 및 LDAP를 통한 AD 소스 유형 사용)를 VMware Cloud Services 조직(SSO 소스 유형 사용)과 페더레이션된 IDP(ID 제공자)로 바꿉니다. ID 제공자를 변경하는 경우 인증 수단은 바뀌지만 인증은 변경되지 않습니다. 추가 사용자 또는 그룹에 vCenter Server에 대한 액세스 권한이 부여되지 않습니다.
- vCenter 관리의 ID 제공자를 볼 때 "이 vCenter는 VMware Cloud Services에서 관리하고 있습니다." 메시지가 표시됩니다. 이는 페더레이션 로그인을 사용하도록 설정한 후 vCenter Single Sign-On이 VMware Cloud Services에 의해 독점적으로 관리되기 때문입니다. 섹션에서
- 자동화 및 타사 통합에 대한 인증 실패. ID 제공자가 암호 인증에 대한 폴백을 지원하지 않거나 다단계 인증이 필요한 경우 인증 단계에서 vCenter와의 프로그래밍 방식 통합이 실패합니다.
vCenter 페더레이션은 SSO를 사용하도록 설정하기 위해 VMware Cloud Services를 사용합니다. VMware Cloud Services에 대한 유지 보수 또는 중단은 vCenter에 대한 SSO의 가용성에 영향을 줄 수 있습니다. 긴급 액세스 URL 및 지침은 페더레이션 로그인 실패 시 vCenter에 대한 긴급 액세스 항목을 참조하십시오.
페더레이션 로그인을 사용하도록 설정했고 SSO ID 소스를 변경하거나 새 소스를 추가해야 하는 경우에는 새 SSO ID 소스에 대해 엔터프라이즈 페더레이션을 구성한 다음, SDDC vCenter Server가 새 ID 소스를 인식할 수 있도록 페더레이션 로그인을 사용하지 않도록 설정했다가 다시 사용하도록 설정하고, 새 ID 소스에 대한 사용 권한을 구성해야 합니다.
페더레이션 로그인에 대한 자세한 내용은 VMware Cloud Tech Zone 문서 기능 요약: VMware Cloud on AWS에 대한 vCenter 페더레이션 로그인을 참조하십시오.
사전 요구 사항
-
중요:
vCenter 페더레이션은 SSO 및 AD/LDAP ID 소스의 동시 사용을 지원하지 않습니다. vCenter에 여러 LDAP ID 소스가 구성되어 있고 vCenter에 대한 페더레이션 로그인을 사용하도록 설정한 후 해당 도메인에서 사용자를 인증해야 하는 경우 모든 도메인이 이러한 사전 요구 사항을 충족해야 합니다.
규정 준수 강화를 위해 구성된 SDDC에서는 vCenter에 대한 페더레이션 로그인을 사용하도록 설정하면 안 됩니다. 이 구성 및 필요한 사항에 대한 자세한 내용은 SDDC 규정 준수 강화 구성을 참조하십시오.
- 현재 LDAP ID 소스 구성을 저장합니다. vCenter에 대한 페더레이션 로그인을 사용하지 않기로 결정했다면 이 구성을 수동으로 복원해야 합니다.
- vCenter 액세스가 필요한 모든 도메인에 대해 엔터프라이즈 페더레이션을 사용하도록 설정합니다. 엔터프라이즈 페더레이션의 정의 및 작동 방식을 참조하십시오.
- IDP를 VMware Cloud Services 조직에 연결합니다. 내 IdP를 연결해야 하는 이유를 참조하십시오.
프로시저
결과
사용 설정이 완료되면 vSphere Client 로그인 화면에서 VMware Cloud Services에 로그인하도록 사용자를 안내합니다.
다음에 수행할 작업
이 SDDC가 새 SDDC이고 페더레이션 로그인이 사용되도록 설정된 적이 없는 경우 [email protected]을 사용하여 긴급 액세스 URL에서 SDDC vCenter Server에 로그인하고 SSO 도메인에 대한 사용 권한을 설정합니다. 이 작업을 수행하지 않으면 긴급 액세스 URL이 긴급 액세스를 제공하지 않습니다.