이 항목에서는 VMware Cloud services와 회사 도메인의 엔터프라이즈 페더레이션 관련 FAQ에 대해 설명합니다.

Q: 회사 도메인에 대해 엔터프라이즈 페더레이션을 설정한 후에도 내 VMware ID(My VMware) 계정으로 my.vmware.com에 계속 액세스할 수 있습니까?

A: 예. 도메인이 페더레이션된 경우 VMware Cloud services에는 회사 계정으로만 액세스할 수 있지만 my.vmware.com에는 My VMware 계정으로 계속 액세스할 수 있습니다.

Q: 회사 계정이 페더레이션된 경우에도 VMware 계정을 생성해야 합니까?

A: 페더레이션된 계정의 사용자는 지원 티켓을 제출하거나 청구 및 구독 관련 작업을 수행하려는 경우에만 My VMware 계정을 생성해야 합니다.

Q: 내 엔터프라이즈에 대해 페더레이션이 설정된 후 내 VMware ID 계정을 사용하여 VMware Cloud Services 포털에 계속 로그인할 수 있습니까?

A: 아니요 회사 ID 제공자로 엔터프라이즈 페더레이션을 설정한 후에는 VMware Cloud services에 대한 모든 후속 로그인에 회사 자격 증명을 사용해야 합니다.

Q: 내 VMware ID 계정을 회사 계정에 연결하면 회사 계정이 변경됩니까?

A: 회사 계정은 My VMware 계정에 연결해도 변경되지 않습니다. 연결은 회사 계정의 특성을 변경하지 않는 내부 매핑을 생성합니다.

Q: 엔터프라이즈 페더레이션을 설정한 후 VMware Cloud Services 액세스를 위해 MFA(다단계 인증)를 적용할 수 있습니까?

A: 회사 설정에 따라 다를 수 있습니다. 회사에서 사용하는 ID 제공자가 MFA를 수행하도록 설정된 경우 대답은 예입니다. 로그인 시 VMware Cloud services 액세스를 위해 MFA에 대한 메시지가 표시됩니다.

Q: 엔터프라이즈 페더레이션은 VMware Cloud Services의 특정 조직 또는 서비스와 연결되어 있습니까?

A: 아니요 엔터프라이즈 페더레이션은 도메인 전체와 관련됩니다. 등록 및 확인된 도메인이 있는 사용자는 모든 VMware Cloud services 조직 및 해당 조직이 구독하고 있는 서비스에 액세스할 수 있습니다.

또한 VMware의 추가 클라우드 서비스를 구독하는 경우 회사 자격 증명으로 새로운 서비스에 계속 액세스할 수 있습니다.

Q: 엔터프라이즈 페더레이션을 사용하도록 설정한 후 이를 실행 취소할 수 있습니까?

A: 예. 도메인에 대한 페더레이션 설정을 실행 취소하려면 Cloud Services Console에서 지원 티켓을 제출하십시오. VMware 지원에서 엔터프라이즈 페더레이션 설정을 되돌리면 페더레이션 설정 후에 추가된 모든 사용 권한, 사용자 및 그룹이 손실될 수 있습니다.

Q: 회사 계정으로 로그인했을 때 내 조직에 서비스가 표시되지 않는 이유는 무엇입니까?

엔터프라이즈에 대해 엔터프라이즈 페더레이션이 설정되기 전에는 My VMware 계정을 사용하여 VMware Cloud services를 인증했습니다. 페더레이션이 사용되도록 설정되면 회사 계정을 사용하여 VMware Cloud services에 로그인하고 회사 ID 제공자에 대해 직접 인증합니다. My VMware 계정으로 로그인하여 이전에 사용한 서비스에 액세스하려면 회사 계정을 VMware ID에 연결해야 합니다. 두 계정이 연결되어 있는 경우에만 조직에서 보유한 조직 및 서비스 역할 액세스 권한에 따라 서비스를 보고 액세스할 수 있습니다.

Q: 엔터프라이즈 페더레이션이 사용되도록 설정된 후에 [ID 및 액세스] 탭에 두 개의 계정이 표시되는 이유는 무엇입니까?

처음에는 My VMware 계정을 사용하여 VMware Cloud services에 액세스했습니다. joe@acme.com을 사용하여 My VMware 계정을 생성했고 이 계정으로 VMware Cloud services에 로그인했다고 가정합니다. 페더레이션 후 페더레이션된 계정을 사용하여 VMware Cloud services에 액세스하고 My VMware ID 계정을 연결합니다. 초기 joe@acme.com이 회색으로 표시되고 "VMware ID" 레이블로 표시되어 더 이상 사용하지 않는 My VMware 계정임을 나타내지만 "섀도 계정"으로 계속 표시됩니다.

조직 또는 서비스 역할 할당 측면에서 섀도 계정은 수정할 수 없습니다. 페더레이션 설정을 사용하도록 설정했다면 엔터프라이즈 페더레이션 설정을 실행 취소할 경우를 대비하여 최소 몇 달 동안 이러한 항목을 유지하는 것이 좋습니다.

Q: 어떤 종류의 타사 ID 제공자가 지원됩니까?

A: 모든 SAML 2.0 규격 타사 ID 제공자가 VMware Cloud services와의 엔터프라이즈 페더레이션에 지원됩니다.

Q: SAML 2.0 규격 타사 ID 제공자가 없고 내 회사 AD(Active Directory)에 대해 직접 인증하고 싶습니다. 이것은 지원됩니까?

예. 온-프레미스 Workspace ONE Access Connector의 기본 제공 인증 방법을 사용하여 회사 AD에 대해 직접 사용자를 인증할 수 있습니다.

Q: VMware 기술로 생성된 Windows 가상 시스템을 사용하여 온-프레미스 Workspace ONE Access Connector를 설치할 수 있습니까?

A: 예. VMware 기술을 사용하여 Workspace ONE Access Windows 커넥터를 설치하는 데 사용할 수 있는 Windows 가상 시스템을 생성할 수 있습니다.

Q: Workspace ONE Access Connector를 온-프레미스에 설치해야 합니까?

A: Workspace ONE Access Windows 커넥터는 일반적으로 엔터프라이즈의 인트라넷 또는 녹색 영역에 설치되는 온-프레미스 구성 요소입니다. 그러나 포트 389, 636에서 LDAP/LDAPS 프로토콜을 통해 엔터프라이즈 Active Directory와 통신할 수 있는 경우 클라우드에 커넥터를 설치할 수 있습니다.

내 엔터프라이즈에는 이미 VMware를 통해 구매한 다른 제품의 일부로 구성된 Workspace ONE Access 테넌트가 있습니다. 셀프 서비스 페더레이션 설정에 대해 새 테넌트 인스턴스를 생성하는 대신 기존 테넌트 인스턴스를 사용할 수 있습니까?

아니요. 현재 있는 기존 Workspace ONE Access(이전의 VMware Identity Manager) 테넌트는 사용할 수 없습니다. 새로운 Workspace ONE Access 테넌트는 셀프 서비스 페더레이션 설정의 일부로 스핀됩니다. 이것은 VMware Cloud Services에 대해 단독으로 사용됩니다. VMware Cloud Services 액세스에 새로운 Workspace ONE Access 테넌트를 사용하기 위한 비용 또는 라이센스 요구 사항은 없습니다.

기존 Workspace ONE Access Connector 사용에도 동일한 내용이 적용됩니다. 페더레이션 설정에는 새 항목이 필요합니다.

내 엔터프라이즈에는 이미 온-프레미스 Workspace ONE Access Connector가 있습니다. 셀프 서비스 페더레이션 설정에 대해 새 커넥터를 생성하는 대신 기존 커넥터를 사용할 수 있습니까?

아니요. 셀프 서비스 페더레이션 설정을 사용하려면 엔터프라이즈에서 VMware Cloud Services와의 페더레이션에만 사용되는 전용 Workspace ONE Access Connector를 설치하고 구성해야 합니다.

기존 Workspace ONE Access 테넌트 사용에도 동일한 내용이 적용됩니다. 페더레이션 설정에는 새 항목이 필요합니다.

Q: Workspace ONE Access 서비스 인스턴스와 신뢰를 설정하려면 Workspace ONE Access Connector에 대한 방화벽 포트를 열어야 합니까?

A: Workspace ONE Access Connector는 아웃바운드 HTTPS/443 채널을 통해 ID 브로커 역할을 하는 Workspace ONE Access 서비스 인스턴스와 통신합니다. 방화벽이 외부 도메인에 대한 액세스를 차단하는 경우 일부 VMware 도메인에 액세스 권한을 부여해야 합니다.

Q: 온-프레미스 Workspace ONE Access Connector를 통해 동기화되는 데이터는 무엇입니까?

A: 온-프레미스 Workspace ONE Access Connector는 고객의 ID 제공자에 대한 Workspace ONE Access 서비스 인스턴스(ID 브로커)로의 사용자 및 그룹 동기화에 사용됩니다. 전체 AD가 아니라 셀프 서비스 설정 중에 구성된 사용자 및 그룹 DN만 동기화됩니다. 이름, 성, 이메일, 사용자 이름 및 도메인과 같은 필수 특성 집합만 동기화됩니다. 엔터프라이즈에서 UPN(사용자 계정 이름)을 사용하여 사용자를 인증하는 경우 이 특성에는 동기화에 대한 값도 있어야 합니다.
중요: 사용자 암호는 동기화되지 않습니다.

Q: Workspace ONE Access 서비스 인스턴스(ID 브로커)가 호스팅되는 지역은 어디입니까?

A: Workspace ONE Access 서비스 인스턴스는 미국 지역의 AWS에서 호스팅됩니다.

Q: 내가 소유하고 있는 다른 도메인(예: acme.com, ext.acme.com, company.com)의 사용자가 내 ID 제공자에 대해 인증하도록 할 수 있습니까?

A: 예. 소유한 모든 공용 도메인을 확인할 수 있는 경우 이러한 도메인의 사용자는 회사 자격 증명을 사용하여 VMware Cloud services에 인증할 수 있습니다. 이러한 모든 도메인의 사용자는 먼저 Workspace ONE Access 서비스 인스턴스(ID 브로커)에 동기화되어야 합니다.

Q: 엔터프라이즈 페더레이션 조직에 서비스를 추가할 수 있습니까?

A: 아니요 엔터프라이즈 페더레이션 조직에는 서비스를 추가할 수 없으며 추가해서는 안 됩니다. 지정된 도메인의 모든 서비스 및 조직에 영향을 미치는 작업을 수행하는 용도로만 엔터프라이즈 페더레이션 조직에 액세스합니다.

회사 자격 증명으로 로그인할 수 없는 경우 VMware Cloud Services에 액세스하는 데 사용할 수 있는 비상 계정이 있습니까?

페더레이션되지 않은 도메인을 사용하여 조직에 My VMware 계정을 추가할 수 있습니다. 예를 들어 acme.com 도메인이 페더레이션된 경우 acme.com이 아닌 도메인의 My VMware 계정을 사용하여 VMware Cloud services에 로그인할 수 있습니다. My VMware 계정이 있는 사용자는 조직 소유자 또는 조직 멤버로 조직에 추가되어야 합니다.

내 회사 Active Directory에서 동기화된 특성은 Workspace ONE Access 서비스 인스턴스 및 AWS의 VMware Cloud Services에서 유지될 때 암호화됩니까?

아니요. 사용자 특성 이름, 성, 이메일, 사용자 이름, 도메인 및 UPN은 AWSVMware Cloud services에서 유지될 때 암호화되지 않습니다.

커넥터 서버가 다운되는 경우 Cloud Services Console에 액세스하는 사용자에게 어떠한 영향이 있습니까? HA 모드에서 커넥터를 구성할 수 있습니까?

엔터프라이즈에서 커넥터 기반 인증 방법이 아닌 타사 ID 제공자 인증을 사용하는 경우 모든 사용자 인증이 ID 제공자에 대해 직접 발생합니다. 이 경우 커넥터가 다운되었다면 이미 동기화된 사용자에 대한 사용자 로그인은 영향을 받지 않습니다. 커넥터는 사용자 및 그룹 동기화에만 사용되므로 HA 모드에서는 커넥터가 필요하지 않을 수 있습니다.