이 단계에서는 SAML 기반 회사 ID 제공자와 페더레이션을 설정하고 엔터프라이즈에 대해 생성된 Workspace ONE Access tenant 에서 IdP 설정을 구성합니다.

모든 SAML 2.0 규격 타사 IdP를 사용하여 VMware Cloud services와 엔터프라이즈 페더레이션을 설정할 수 있습니다. Okta, PingIdentity, Microsoft Active Directory Federation Services (ADFS), OneLoginAzure Active Directory와 같은 제공자에 대한 셀프 서비스 페더레이션 워크플로의 일부로 간편 설정을 사용할 수 있습니다.
참고: VMware Cloud Services를 사용하여 엔터프라이즈 페더레이션에 대한 Azure Active Directory를 구성하려면 추가 그룹 할당에 대해 sAMAccountName을 선택해야 합니다. 페더레이션 설정이 활성화된 후 그룹 세부 정보를 가져와야 합니다.

이 목록에 포함되지 않은 다른 SAML 2.0 규격 타사 IdP를 구성하려면 기타를 선택합니다.

이 예에서는 ACME 엔터프라이즈에서 Okta를 사용합니다. ACME에 대한 페더레이션을 설정하는 엔터프라이즈 관리자로서 Okta를 구성합니다.
참고: ID 제공자가 SAML 응답에서 그룹 정보 보내기를 지원하는 경우 페더레이션 설정에 그룹 특성을 포함할 수 있습니다.

사전 요구 사항

이 단계에서는 사용자 ID 기본 설정, 즉 엔터프라이즈 사용자가 Cloud Services 검색 페이지에서 VMware Cloud Services에 액세스할 때 자신을 식별할 방법을 설정해야 합니다. 사용 가능한 옵션은 이메일, UPN(사용자 계정 이름) 및 User@Domain입니다. 엔터프라이즈에 대한 사용자 ID 기본 설정으로 User@Domain을 설정하는 것을 고려하고 있다면 다음 제한 사항을 알고 있어야 합니다.
제한 사항: ID 제공자가 User@Domain ID 기본 설정으로 구성되면 설정 중에 1단계: 도메인 확인으로 돌아가서 도메인을 더 추가할 수 없습니다. 셀프 서비스 페더레이션 흐름의 이 단계를 시작하기 전에 페더레이션하려는 모든 도메인을 추가해야 합니다. 이 단계가 완료된 후 다른 도메인을 추가하려면 지원 티켓을 제출해야 합니다.

프로시저

  1. 엔터프라이즈 페더레이션 설정 페이지의 ID 제공자 구성 섹션에서 시작을 클릭합니다.
    ID 제공자 선택 섹션이 표시됩니다. SAML 기반 ID 제공자 옵션이 기본적으로 선택되어 있습니다.
  2. 사용 가능한 타사 SAML ID 제공자 목록에서 Okta를 클릭합니다.
  3. 다음을 클릭합니다.
    ID 제공자 내 SAML 설정 섹션이 확장됩니다.
  4. SAML 서비스 제공자 메타데이터 보기 링크를 클릭하고 메타데이터 파일을 다운로드합니다.
    ID 제공자가 URL 형식을 지원하는 경우 메타데이터 URL을 복사할 수도 있습니다. 메타데이터 파일 또는 URL을 사용하여 Workspace ONE Access tenant와 신뢰를 설정하도록 ID 제공자를 구성합니다.
  5. Single Sign-On URL 및 대상 URI 경로를 복사합니다.
  6. IdP의 관리 콘솔을 엽니다.
    1. 이전 단계에서 복사한 Single Sign-On URL 및 대상 URI를 붙여 넣습니다.
    2. 이 작업의 4단계에서 다운로드한 메타데이터 파일을 업로드합니다.
    3. IdP에서 구성한 이름 ID를 복사하고 나중에 참조할 수 있도록 보관합니다.
    4. IdP의 메타데이터 파일을 다운로드합니다.
  7. IdP 구성이 준비되면 셀프 서비스 페더레이션 워크플로로 돌아가서 ID 제공자 내 SAML 설정 섹션을 확장하고 다음을 클릭합니다.
    워크플로의 ID 제공자 구성 섹션이 확장됩니다.
  8. Workspace ONE Access tenant에서 IdP를 구성하려면 다음을 제공합니다.
    1. [IdP 표시 이름] 텍스트 상자에 사용자에게 친숙한 IdP 이름을 입력합니다.
      이 이름은 로그인 및 로그아웃 시에 VMware Cloud services 사용자에게 표시됩니다.
    2. [메타데이터] 텍스트 상자에 IdP 메타데이터 URL을 입력하거나 XML을 선택하고 ID 제공자 메타데이터 XML 파일을 붙여 넣습니다.
      메타데이터 검증이 자동으로 시작됩니다. 검증이 완료되면 녹색 확인란 아이콘이 표시되어 파일을 읽었고 성공적으로 구문 분석했음을 나타냅니다. 검증에서 오류를 반환하는 경우 입력한 URL이 올바른지 확인합니다. IdP 메타데이터 XML 파일에 추가적인 공백이나 문자가 없는지 확인합니다.
    3. 드롭다운 메뉴에서 이름 ID 형식을 선택합니다.
      이름 ID 형식은 인증된 사용자를 식별하기 위한 SAML 응답의 값입니다.
    4. 드롭다운 메뉴에서 ID 제공자에 해당하는 이름 ID 형식이름 ID 값을 선택합니다.
      인증 방법이 자동으로 채워집니다.
    5. SAML 컨텍스트 드롭다운 메뉴에서 IdP에 대한 사용자 인증 유형을 선택합니다.
    6. 다음을 클릭합니다.
      사용자 특성 섹션이 확장되어 ID 제공자의 SAML 응답에서 찾을 수 있는 필수 및 필수가 아닌 사용자 특성의 목록이 표시됩니다.
  9. (선택 사항) 목록에 없는 사용자 지정 사용자 특성을 추가하려면 사용자 특성 추가를 클릭하고 IdP의 해당 이름과 정확하게 일치하는 값을 입력합니다.
  10. 다음을 클릭합니다.
    SAML 응답에서 그룹 특성을 지원하는 ID 제공자로 설정하도록 지정한 경우 워크플로의 그룹 특성 섹션이 확장됩니다. 여기서 SAML 요청에서 호출할 그룹 특성과 그룹 이름을 추가합니다.
  11. (선택 사항) 드롭다운 메뉴에서 그룹 특성과 그룹 이름을 선택합니다.
  12. 사용자 ID 기본 설정 지정 섹션에서, 엔터프라이즈 사용자가 Cloud Services 검색 페이지에서 VMware Cloud Services에 액세스할 때 자신을 식별할 방법을 선택합니다.
    사용자 식별은 엔터프라이즈 ID 제공자에 대해 사용자가 인증하는 방법과는 다릅니다.
    중요: ID 기본 설정 옵션으로 Username@Domain을 선택하는 경우 VMware Cloud services에 로그인할 때 SAML 응답에 Domain 특성이 있어야 합니다.
  13. 구성을 클릭합니다.

결과

이 단계에서는 ID 제공자를 Workspace ONE Access 테넌트 구성에 추가했고, Workspace ONE Access 테넌트를 IdP의 서비스 제공자로 구성했으며, SAML 응답에서 사용자를 식별하는 데 사용될 값을 선택했고, ID 제공자에서 사용자를 인증하는 데 사용될 인증 방법을 지정했습니다.

다음에 수행할 작업

IdP에 대한 로그인을 검증하고 페더레이션을 활성화합니다.