관리 콘솔에서 Active Directory에 연결하는 데 필요한 정보를 입력하고 VMware Identity Manager 디렉토리와 동기화할 사용자 및 그룹을 선택합니다.

Active Directory 연결 옵션은 [LDAP를 통한 Active Directory] 또는 [Active Directory(Windows 통합 인증)]입니다. [LDAP를 통한 Active Directory] 연결은 DNS 서비스 위치 조회를 지원합니다.

사전 요구 사항

  • (SaaS) Connector가 설치 및 활성화되어 있습니다.
  • [사용자 특성] 페이지에서 필수 특성을 선택하고 다른 특성을 더 추가합니다. 디렉토리와의 동기화를 위해 특성 선택의 내용을 참조하십시오.
  • Active Directory에서 동기화할 Active Directory 사용자 및 그룹의 목록. 그룹 이름이 즉시 디렉토리로 동기화됩니다. 그룹의 멤버는 그룹이 리소스에 대한 사용 권한을 받거나 정책 규칙에 추가될 때까지 동기화되지 않습니다. 그룹 사용 권한을 구성하기 전에 인증해야 하는 사용자를 초기 구성 동안 추가해야 합니다.
  • [LDAP를 통한 Active Directory]의 경우 필요한 정보에는 기본 DN, 바인딩 DN, 바인딩 DN 암호가 포함됩니다.
    참고: 만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.
  • [Active Directory(Windows 통합 인증)]의 경우 필요한 정보에는 도메인의 바인딩 사용자 UPN 주소 및 암호가 포함됩니다.
    참고: 만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.
  • Active Directory가 SSL 또는 STARTTLS를 통한 액세스를 요구하는 경우 Active Directory 도메인 컨트롤러의 루트 CA 인증서가 필요합니다.
  • [Active Directory(Windows 통합 인증)]의 경우, 다중 포리스트 Active Directory를 구성했고 도메인 로컬 그룹에 서로 다른 포리스트의 도메인 구성원이 포함되었다면 도메인 로컬 그룹이 상주하는 도메인의 관리자 그룹에 바인딩 사용자를 추가해야 합니다. 이렇게 하지 않으면 이러한 구성원은 도메인 로컬 그룹에서 누락됩니다.

프로시저

  1. 관리 콘솔에서 ID 및 액세스 관리 탭을 클릭합니다.
  2. [디렉토리] 페이지에서 디렉토리 추가를 클릭합니다.
  3. VMware Identity Manager 디렉토리의 이름을 입력합니다.
  4. 작업 환경에서 Active Directory의 유형을 선택하고 연결 정보를 구성합니다.
    옵션 설명
    LDAP를 통한 Active Directory
    1. 커넥터 동기화 텍스트 상자에서 Active Directory와 동기화하는 데 사용할 connector를 선택합니다.

      온-프레미스 배포에서는 기본적으로 VMware Identity Manager 서비스에서 커넥터 구성 요소를 항상 사용할 수 있습니다. 이 커넥터는 드롭다운 메뉴에 표시됩니다. 고가용성을 위해 여러 개의 VMware Identity Manager 인스턴스를 설치하는 경우 각 인스턴스의 커넥터 구성 요소가 목록에 나타납니다. 추가적으로 외부 커넥터도 나열됩니다.

    2. 인증 텍스트 상자에서 이 Active Directory가 사용자를 인증하는 데 사용되는 경우 를 클릭합니다.

      타사 ID 제공자가 사용자를 인증하는 데 사용되면 아니요를 클릭합니다. 사용자 및 그룹을 동기화하도록 Active Directory 연결을 구성한 후에 [ID 및 액세스 관리] > [관리] > [ID 제공자] 페이지로 가서 인증을 위한 타사 ID 제공자를 추가합니다.

    3. 디렉토리 검색 특성 텍스트 상자에서 사용자 이름이 포함된 계정 특성을 선택합니다.
    4. Active Directory가 DNS 서비스 위치 조회를 사용하는 경우 다음과 같이 선택합니다.
      • 서버 위치 섹션에서 이 디렉토리는 DNS 서비스 위치를 지원합니다. 확인란을 선택합니다.

        디렉토리가 만들어질 때 도메인 컨트롤러 목록으로 자동으로 채워지는 domain_krb.properties 파일이 생성됩니다. 도메인 컨트롤러 선택 정보(domain_krb.properties 파일)의 내용을 참조하십시오.

      • Active Directory가 STARTTLS 암호화를 요구하는 경우 인증서 섹션에서 이 디렉토리에 대한 모든 연결은 SSL을 사용해야 합니다. 확인란을 선택하고 Active Directory 루트 CA 인증서를 복사한 후 SSL 인증서 텍스트 상자에 붙여 넣습니다.

        인증서가 PEM 형식인지 확인하고 "BEGIN CERTIFICATE" 및 "END CERTIFICATE" 줄을 포함합니다.

        참고: Active Directory가 STARTTLS를 요구하지만 사용자가 인증서를 제공하지 않으면 디렉토리를 만들 수 없습니다.
    5. Active Directory가 DNS 서비스 위치 조회를 사용하지 않는 경우 다음과 같이 선택합니다.
      • 서버 위치 섹션에서 이 디렉토리는 DNS 서비스 위치를 지원합니다. 확인란이 선택되지 않았는지 확인하고 Active Directory 서버 호스트 이름 및 포트 번호를 입력합니다.

        디렉토리를 전역 카탈로그로 구성하려면 Active Directory 환경에서 다중 도메인, 단일 포리스트 Active Directory 환경 섹션을 참조하십시오.

      • Active Directory가 SSL을 통한 액세스를 요구하는 경우 인증서 섹션에서 이 디렉토리에 대한 모든 연결은 SSL을 사용해야 합니다. 확인란을 선택하고 Active Directory 루트 CA 인증서를 복사한 후 SSL 인증서 필드에 붙여넣습니다.

        인증서가 PEM 형식인지 확인하고 "BEGIN CERTIFICATE" 및 "END CERTIFICATE" 줄을 포함합니다.

        참고: Active Directory가 SSL을 요구하지만 사용자가 인증서를 제공하지 않으면 디렉토리를 만들 수 없습니다.
    6. 기본 DN 필드에 계정 검색을 시작할 DN을 입력합니다. 예를 들어 OU=myUnit,DC=myCorp,DC=com을 입력합니다.
    7. 바인딩 DN 필드에 사용자를 검색할 수 있는 계정을 입력합니다. 예를 들어 CN=binduser,OU=myUnit,DC=myCorp,DC=com을 입력합니다.
      참고: 만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.
    8. 바인딩 암호를 입력한 후에 연결 테스트를 클릭하여 해당 디렉토리를 Active Directory에 연결할 수 있는지 확인합니다.
    Active Directory(Windows 통합 인증)
    1. 커넥터 동기화 텍스트 상자에서 Active Directory와 동기화하는 데 사용할 connector를 선택합니다.
    2. 인증 텍스트 상자에서 이 Active Directory가 사용자를 인증하는 데 사용되는 경우 를 클릭합니다.

      타사 ID 제공자가 사용자를 인증하는 데 사용되면 아니요를 클릭합니다. 사용자 및 그룹을 동기화하도록 Active Directory 연결을 구성한 후에 [ID 및 액세스 관리] > [관리] > [ID 제공자] 페이지로 가서 인증을 위한 타사 ID 제공자를 추가합니다.

    3. 디렉토리 검색 특성 텍스트 상자에서 사용자 이름이 포함된 계정 특성을 선택합니다.
    4. Active Directory가 STARTTLS 암호화를 요구하는 경우 인증서 섹션에서 이 디렉토리에 대한 모든 연결은 STARTTLS를 사용해야 합니다. 확인란을 선택하고 Active Directory 루트 CA 인증서를 복사한 후 SSL 인증서 텍스트 상자에 붙여 넣습니다.

      인증서가 PEM 형식인지 확인하고 "BEGIN CERTIFICATE" 및 "END CERTIFICATE" 줄을 포함합니다.

      디렉토리에 여러 도메인이 있는 경우 모든 도메인에 대한 루트 CA 인증서를 한 번에 하나씩 추가합니다.

      참고: Active Directory가 STARTTLS를 요구하지만 사용자가 인증서를 제공하지 않으면 디렉토리를 만들 수 없습니다.
    5. (Linux만 해당) 가입할 Active Directory 도메인의 이름을 입력합니다. 도메인에 가입할 수 있는 권한이 있는 사용자 이름과 암호를 입력합니다. 자세한 정보는 도메인 가입에 필요한 사용 권한(Linux 가상 장치만 해당)의 내용을 참조하십시오.
    6. [바인딩 사용자 UPN] 텍스트 상자에 도메인으로 인증할 수 있는 사용자의 UPN(사용자 주체 이름)을 입력합니다. 예를 들어 [email protected]을 입력합니다.
      참고: 만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.
    7. [바인딩 사용자] 암호를 입력합니다.
  5. 저장 및 다음을 클릭합니다.
    도메인 목록이 있는 페이지가 표시됩니다.
  6. [LDAP를 통한 Active Directory]의 경우 확인 표시와 함께 도메인이 나열됩니다.
    [Active Directory(통합 Windows 인증)]의 경우 이 Active Directory 연결과 연결되어야 하는 도메인을 선택합니다.
    참고: 디렉토리가 생성된 후에 신뢰하는 도메인을 추가하면 서비스에서 신뢰하는 새 도메인을 자동으로 감지하지 못합니다. 서비스에서 도메인을 감지하도록 설정하려면 connector가 도메인을 탈퇴한 다음 다시 가입해야 합니다. connector가 도메인에 다시 가입하면 신뢰하는 도메인이 목록에 나타납니다.

    다음을 클릭합니다.

  7. VMware Identity Manager 디렉토리 특성 이름이 올바른 Active Directory 특성에 매핑되는지 확인하고 필요에 따라 변경을 수행한 후 다음을 클릭합니다.
  8. Active Directory에서 VMware Identity Manager 디렉토리로 동기화하려는 그룹을 선택합니다.
    그룹이 여기에 추가되면 그룹 이름이 디렉토리로 동기화됩니다. 그룹 멤버인 사용자는 그룹에 애플리케이션 사용 권한이 부여되거나 그룹 이름이 액세스 정책 규칙에 추가될 때까지 디렉토리로 동기화되지 않습니다. 예약된 후속 동기화는 모두 이러한 그룹 이름에 대한 업데이트된 정보를 Active Directory에서 가져옵니다.
    옵션 설명
    그룹 DN 지정 그룹을 선택하려면 하나 이상의 그룹 DN을 지정하고 아래에 있는 그룹을 선택합니다.
    1. +를 클릭하고 그룹 DN을 지정합니다. 예: CN=users,DC=example,DC=company,DC=com.
      중요: 입력한 기본 DN 아래에 있는 그룹 DN을 지정합니다. 그룹 DN이 기본 DN 외부에 있으면 해당 DN의 사용자가 동기화되지만 로그인할 수는 없습니다.
    2. 그룹 찾기를 클릭합니다.

      동기화할 그룹 열에 DN에 있는 그룹 수가 표시됩니다.

    3. DN의 모든 그룹을 선택하려면 모두 선택을 클릭하고, 그렇지 않으면 선택을 클릭하고 동기화할 특정 그룹을 선택합니다.
    참고: 그룹을 동기화할 때 Active Directory에서 [도메인 사용자]가 기본 그룹으로 포함되어 있지 않은 사용자는 동기화되지 않습니다.
    중첩된 그룹 멤버 동기화

    중첩된 그룹 멤버 동기화 옵션이 기본적으로 사용되도록 설정되어 있습니다. 이 옵션이 사용되도록 설정되면 그룹에 사용 권한이 부여될 경우 선택한 그룹에 직접 속하는 모든 사용자와 그 아래 중첩된 그룹에 속하는 모든 사용자가 동기화됩니다. 중첩된 그룹은 동기화되지 않고 중첩된 그룹에 속하는 사용자만 동기화됩니다. VMware Identity Manager 디렉토리에서 이러한 사용자는 동기화를 위해 선택한 상위 그룹의 멤버가 됩니다.

    중첩된 그룹 멤버 동기화 옵션을 사용하지 않도록 설정하면 동기화할 그룹을 지정할 때 해당 그룹에 직접 속하는 모든 사용자가 동기화됩니다. 그 아래 중첩된 그룹에 속하는 사용자는 동기화되지 않습니다. 대규모 Active Directory 구성에서 그룹 트리를 탐색하는 데 리소스와 시간이 많이 소요되는 경우 이 옵션을 사용하지 않도록 설정하는 것이 좋습니다. 이 옵션을 사용하지 않도록 설정하는 경우 동기화할 사용자가 속하는 모든 그룹을 선택해야 합니다.

  9. 다음을 클릭합니다.
  10. 동기화할 사용자를 지정합니다.
    그룹의 멤버는 그룹에 애플리케이션 사용 권한이 부여되거나 그룹이 액세스 정책 규칙에 추가될 때까지 디렉토리로 동기화되지 않으므로 그룹 사용 권한이 구성되기 전에 인증을 받아야 하는 모든 사용자를 추가합니다.
    1. +를 클릭하고 사용자 DN을 입력합니다. 예: CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
      중요: 입력한 기본 DN 아래에 있는 사용자 DN을 지정합니다. 사용자 DN이 기본 DN 외부에 있으면 해당 DN의 사용자가 동기화되지만 로그인할 수는 없습니다.
    2. (선택 사항) 사용자를 제외하려면 필터를 만들어 일부 사용자 유형을 제외합니다.
      필터 기준으로 사용할 사용자 특성, 쿼리 규칙 및 값을 선택합니다.
  11. 다음을 클릭합니다.
  12. 페이지를 검토하여 디렉토리에 동기화되는 사용자 및 그룹의 수를 확인하고 동기화 스케줄을 확인합니다.

    사용자 및 그룹을 변경하거나 동기화 빈도를 변경하려면 편집 링크를 클릭합니다.

  13. 디렉토리 동기화를 클릭하여 디렉토리에 대한 동기화를 시작합니다.

결과

Active Directory 연결이 설정되고 사용자 및 그룹 이름이 Active Directory에서 VMware Identity Manager 디렉토리로 동기화됩니다. 바인딩 DN 사용자는 기본적으로 VMware Identity Manager에서 관리자 역할을 가집니다.

다음에 수행할 작업

  • DNS 서비스 위치를 지원하는 디렉토리를 만든 경우 domain_krb.properties 파일이 만들어지고 도메인 컨트롤러 목록으로 자동으로 채워집니다. 파일을 확인하거나 도메인 컨트롤러 목록을 편집합니다. 도메인 컨트롤러 선택 정보(domain_krb.properties 파일)의 내용을 참조하십시오.
  • 인증 방법을 설정합니다. 사용자 및 그룹 이름이 디렉토리로 동기화된 후에, 커넥터도 인증에 사용되는 경우 커넥터에서 추가 인증 방법을 설정할 수 있습니다. 타사가 인증 ID 제공자인 경우 커넥터에서 해당 ID 제공자를 구성합니다.
  • 기본 액세스 정책을 검토합니다. 기본 액세스 정책은 전체 네트워크 범위의 모든 장치가 8시간의 세션 시간 초과 설정으로 웹 포털에 액세스하거나 2,160시간(90일)의 세션 시간 초과 설정으로 클라이언트 애플리케이션에 액세스할 수 있도록 구성되어 있습니다. 기본 액세스 정책을 변경할 수 있으며 웹 애플리케이션을 카탈로그에 추가할 때 새 정책을 생성할 수 있습니다.
  • (온-프레미스) 사용자 지정 브랜딩을 관리 콘솔, 사용자 포털 페이지 및 로그인 화면에 적용합니다.