페더레이션 설정의 이 단계에서는 Active Directory 동기화한 사용자 및 그룹을 저장하는 내부 디렉토리를 생성합니다.

단일 또는 여러 Active Directory 도메인의 그룹 및 사용자를 동기화할 수 있습니다.
  • VMware Cloud services에 대해 페더레이션된 액세스를 제공하려는 모든 사용자와 그룹이 단일 AD 도메인에 있다면 단일 AD 도메인 옵션을 선택합니다. 여러 AD 도메인이 있고 이러한 도메인 간에 신뢰가 없는 경우 이 옵션을 사용합니다. 페더레이션이 설정되면 각 추가 AD 도메인에 대해 새 디렉토리를 추가할 수 있습니다.
  • VMware Cloud services에 대해 페더레이션된 액세스를 제공하려는 사용자와 그룹이 서로 다른 AD 도메인에 있고 서로 다른 도메인 간에 신뢰가 설정되어 있으며 다중 포리스트 Active Directory가 구성된 경우 여러 AD 도메인을 선택합니다.

엔터프라이즈 페더레이션이 활성화되면 페더레이션 워크플로의 이 단계에서 동기화한 그룹 및 사용자가 Cloud Services 콘솔그룹 페이지에 나타납니다. ID 및 액세스 관리 > 그룹으로 이동하여 페이지에 액세스할 수 있습니다. 페더레이션 설정이 활성화된 후 엔터프라이즈의 그룹 및 사용자를 추가로 동기화할 수 있습니다.

사용자가 회사 계정으로 VMware Cloud services에 액세스할 수 있도록 하려면 모든 페더레이션된 계정을 동기화해야 합니다. 동기화된 사용자는 청구 정보를 보고 지원 티켓을 제출해야 하는 경우가 아니면 로그인 시 VMware 계정 생성 요청을 받지 않습니다. 조직 소유자 사용자이거나 도메인이 페더레이션 되기 전에 페더레이션 설정을 완료하도록 초대된 엔터프라이즈 관리자는 VMware 계정을 생성해야 합니다. 도메인이 페더레이션된 후 특수 페더레이션 조직에 추가된 엔터프라이즈 관리자는 VMware 계정을 생성할 필요가 없습니다.

사전 요구 사항

  • Active Directory에 SSL/TLS를 통한 액세스가 필요한 경우 도메인 컨트롤러의 중간(사용된 경우) 및 루트 CA 인증서를 업로드해야 합니다.
  • 그룹 및 사용자 동기화의 경우 Active Directory에 대한 읽기 권한이 있고 Active Directory에 연결하기 위한 Bind 사용자 DN/이름에 대한 만료되지 않는 암호가 있는 서비스 또는 사용자 계정을 사용해야 합니다.
    경고: 회사 보안 정책에 따라 만료되는 암호가 있는 서비스 계정을 사용해야 하고 암호가 갱신 전에 만료되는 경우 그룹 및 사용자는 동기화되지 않습니다. 동기화가 중단되면 Active Directory와 Workspace ONE Access Connector 간의 연결을 다시 설정해야 합니다.

프로시저

  1. 엔터프라이즈 페더레이션 설정 페이지의 그룹 및 사용자 동기화 섹션에서 시작을 클릭합니다.
    디렉토리 추가 섹션이 표시됩니다.
  2. 디렉토리 이름 텍스트 상자에 생성하려는 내부 디렉토리의 이름을 입력합니다.
    엔터프라이즈 디렉토리 이름으로 아무 이름이나 사용할 수 있으며 내부적으로 사용하는 이름과 일치하지 않아도 됩니다.
  3. 이 예의 목적을 위해 기본값인 단일 AD 도메인아니요 메뉴 항목을 선택한 상태로 유지합니다.
  4. 다음을 클릭합니다.
    워크플로의 Bind 사용자 자격 증명 제공 섹션이 확장됩니다.
  5. 엔터프라이즈 Active Directory의 그룹 및 사용자를 동기화하는 데 사용될 서비스 계정의 Bind 사용자 관리자 자격 증명을 제공합니다.
    다음은 Bind 사용자 DN(고유 이름)을 정의하는 방법에 대한 예입니다. 엔터프라이즈 디렉토리 서비스의 Bind 사용자 DN이 [email protected]이라고 가정합니다. 페더레이션 설정에서 사용자 이름의 구문이 정의되는 방식을 참조하십시오.
    1. Bind 사용자 DN 텍스트 상자에 "CN=admin,DC=acme,DC=com"을 입력합니다.
      기본 DN 텍스트 상자가 자동으로 채워지면서 "DC=acme,DC=com"이 표시됩니다.
    2. Bind 사용자 암호 텍스트 상자에 Bind 사용자 관리자의 암호를 입력합니다.
    참고: 입력하는 Bind 사용자 DN 및 Bind DN 자격 증명은 예제에 나와 있는 구문을 따라야 합니다.
  6. 다음을 클릭합니다.
    워크플로의 그룹 동기화 섹션이 확장됩니다.
  7. 동기화하려는 그룹의 그룹 DN(고유 이름)을 입력합니다.
    엔터프라이즈 디렉토리의 특정 사용자 그룹을 정의하려면 이 작업의 5단계에서 입력한 것과 유사한 구문을 사용합니다(예: CN=Users,DC=acme,DC=com).
    참고: 그룹 및 사용자를 동기화하기 위한 최소 특성은 이름, 성, 이메일, 사용자 이름 및 도메인입니다. 엔터프라이즈에서 UPN(사용자 계정 이름)을 사용하여 사용자를 인증하는 경우 이 특성에는 동기화에 대한 값도 있어야 합니다. 사용자 암호는 동기화되지 않습니다. 전체 AD가 아닌 이 단계에서 구성된 사용자 및 그룹 DN만 동기화됩니다.
  8. 그룹 선택 링크를 클릭합니다.
    팝업 창이 나타나면서 입력한 그룹 DN 조건에 대해 사용 가능한 모든 그룹 결과가 표시됩니다. 검색 결과에 포함된 그룹이 1000개를 넘으면 7단계로 돌아가서 검색 조건을 구체화할 수 있습니다.
  9. 페더레이션 설정을 위해 동기화할 그룹을 선택한 다음 저장을 클릭합니다.
    페더레이션 워크플로 페이지가 새로 고쳐지면서 이 단계에서 동기화를 위해 추가된 그룹의 수가 표시됩니다. 추가를 클릭하여 그룹을 더 추가할 수 있습니다.
  10. 다음을 클릭합니다.
  11. 사용자 동기화 섹션이 확장되면 동기화할 사용자 DN을 입력합니다.
    엔터프라이즈 디렉토리의 특정 사용자를 정의하려면 이 작업의 7단계에서 입력한 것과 유사한 구문을 사용합니다(예: CN=admin,CN=users,DC=acme,DC=com).
    추가한 모든 그룹 및 사용자가 이제 그룹 및 사용자 검토 섹션에 표시됩니다.
    엔터프라이즈 ID 제공자를 사용하여 사용자 로그인을 검증하고 페더레이션 설정을 테스트하려면 자신을 포함하여 페더레이션 설정을 테스트하려는 그룹 및 사용자를 추가하고 성공적으로 동기화해야 합니다.
    참고: 동기화되지 않은 사용자는 엔터프라이즈 페더레이션이 활성화된 후 사용자 인증에 실패합니다.
  12. 동기화를 클릭합니다.
    [동기화 진행 중] 상태가 표시되고 동기화 상태 확인을 클릭할 때까지 유지됩니다.
  13. 업데이트된 동기화 상태를 보려면 동기화 상태 확인을 클릭해야 합니다.
    참고: 이름, 성, 이메일, 사용자 이름, 도메인 및 UPN(사용된 경우)과 같은 최소 필수 특성이 누락되면 동기화가 실패합니다.
    동기화에 성공하면 상태가 녹색으로 변경됩니다.
    참고: Bind 사용자 DN에 대한 예외 오류가 발생하는 경우 이를 무시할 수 있습니다. 다른 모든 오류는 설정에서 문제를 해결해야 합니다.
  14. 계속을 클릭합니다.

다음에 수행할 작업

이제 VMware Cloud services와의 엔터프라이즈 페더레이션에 대해 회사 IdP를 구성할 준비가 되었습니다.