VMware Identity Manager 콘솔에서 Active Directory에 연결하는 데 필요한 정보를 입력하고 VMware Identity Manager 디렉토리와 동기화할 사용자 및 그룹을 선택합니다.
Active Directory 연결 옵션은 [LDAP를 통한 Active Directory] 또는 [Windows 통합 인증을 통한 Active Directory]입니다. [LDAP를 통한 Active Directory] 연결은 DNS 서비스 위치 조회를 지원합니다.
사전 요구 사항
- (SaaS) Connector가 설치 및 활성화되어 있습니다.
- [사용자 특성] 페이지에서 필수 특성을 선택하고 다른 특성을 더 추가합니다. 디렉토리와의 동기화를 위해 특성 선택의 내용을 참조하십시오.
- Active Directory에서 동기화할 Active Directory 사용자 및 그룹의 목록을 만듭니다. 그룹 이름이 즉시 디렉토리로 동기화됩니다. 그룹의 멤버는 그룹이 리소스에 대한 사용 권한을 받거나 정책 규칙에 추가될 때까지 동기화되지 않습니다. 그룹 사용 권한을 구성하기 전에 인증해야 하는 사용자를 초기 구성 동안 추가해야 합니다.
- [LDAP를 통한 Active Directory]의 경우 기본 DN, 바인딩 DN, 바인딩 DN 암호가 필요합니다.
바인딩 DN 사용자는 사용자 및 그룹 개체에 대한 액세스 권한을 부여하려면 Active Directory에 다음 사용 권한이 있어야 합니다.
참고: 만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.
- Windows 통합 인증을 통한 Active Directory의 경우 필요한 도메인에 대한 사용자 및 그룹을 쿼리하기 위한 권한이 있는 바인딩 사용자의 사용자 이름 및 암호가 필요합니다.
바인딩 사용자는 사용자 및 그룹 개체에 대한 액세스 권한을 부여하려면 Active Directory에서 다음 사용 권한이 있어야 합니다.
참고: 만료되지 않는 암호를 사용하는 바인딩 사용자 계정을 사용하는 것이 좋습니다.
- Active Directory에 SSL 또는 STARTTLS를 통한 액세스가 필요한 경우 모든 관련 Active Directory 도메인에 대한 도메인 컨트롤러의 루트 CA 인증서가 필요합니다.
- Windows 통합 인증을 통한 Active Directory의 경우, 다중 포리스트 Active Directory를 구성했고 도메인 로컬 그룹에 서로 다른 포리스트의 도메인 구성원이 포함되었다면 도메인 로컬 그룹이 상주하는 도메인의 관리자 그룹에 바인딩 사용자를 추가해야 합니다. 이렇게 하지 않으면 이러한 구성원은 도메인 로컬 그룹에서 누락됩니다.
- Windows 통합 인증을 통한 Active Directory의 경우:
- SRV 레코드에 나열된 모든 도메인 컨트롤러와 숨겨진 RODC의 경우 호스트 이름 및 IP 주소의 nslookup이 작동해야 합니다.
- 모든 도메인 컨트롤러는 네트워크에 연결될 수 있어야 합니다.
프로시저
- VMware Identity Manager 콘솔에서 ID 및 액세스 관리 탭을 클릭합니다.
- [디렉토리] 페이지에서 디렉토리 추가를 클릭합니다.
- VMware Identity Manager 디렉토리의 이름을 입력합니다.
- 작업 환경에서 Active Directory의 유형을 선택하고 연결 정보를 구성합니다.
옵션 |
설명 |
LDAP를 통한 Active Directory |
- 커넥터 동기화 텍스트 상자에서 Active Directory와 동기화하는 데 사용할 connector를 선택합니다.
온-프레미스 배포에서는 기본적으로 VMware Identity Manager 서비스에서 커넥터 구성 요소를 항상 사용할 수 있습니다. 이 커넥터는 드롭다운 메뉴에 표시됩니다. 고가용성을 위해 여러 개의 VMware Identity Manager 인스턴스를 설치하는 경우 각 인스턴스의 커넥터 구성 요소가 목록에 나타납니다. 추가적으로 독립형 커넥터도 나열됩니다.
- 인증 텍스트 상자에서 이 Active Directory가 사용자를 인증하는 데 사용되는 경우 예를 클릭합니다.
타사 ID 제공자가 사용자를 인증하는 데 사용되면 아니요를 클릭합니다. 사용자 및 그룹을 동기화하도록 Active Directory 연결을 구성한 후에 [ID 및 액세스 관리] > [관리] > [ID 제공자] 페이지로 가서 인증을 위한 타사 ID 제공자를 추가합니다.
- 디렉토리 검색 특성 텍스트 상자에서 사용자 이름이 포함된 계정 특성을 선택합니다.
- Active Directory 대한 DNS 서비스 위치 조회를 사용하려는 경우 다음과 같이 선택 합니다.
- 서버 위치 섹션에서 이 디렉토리는 DNS 서비스 위치를 지원합니다. 확인란을 선택합니다.
VMware Identity Manager는 최적의 도메인 컨트롤러를 찾아서 사용합니다. 최적화된 도메인 컨트롤러 선택을 사용하지 않으려면 대신 e 단계를 따르십시오.
- Active Directory가 STARTTLS 암호화를 요구하는 경우 인증서 섹션에서 이 디렉토리에 대한 모든 연결은 SSL을 사용해야 합니다. 확인란을 선택하고 Active Directory 루트 CA 인증서를 복사한 후 SSL 인증서 텍스트 상자에 붙여 넣습니다.
인증서가 PEM 형식인지 확인하고 "BEGIN CERTIFICATE" 및 "END CERTIFICATE" 줄을 포함합니다.
참고: Active Directory가 STARTTLS를 요구하지만 사용자가 인증서를 제공하지 않으면 디렉토리를 만들 수 없습니다.
- Active Directory에 대해 DNS 서비스 위치 조회를 사용하지 않으려는 경우 다음과 같이 선택합니다.
- 서버 위치 섹션에서 이 디렉토리는 DNS 서비스 위치를 지원합니다. 확인란이 선택되지 않았는지 확인하고 Active Directory 서버 호스트 이름 및 포트 번호를 입력합니다.
디렉토리를 전역 카탈로그로 구성하려면 Active Directory 환경에서 다중 도메인, 단일 포리스트 Active Directory 환경 섹션을 참조하십시오.
- Active Directory가 SSL을 통한 액세스를 요구하는 경우 인증서 섹션에서 이 디렉토리에 대한 모든 연결은 SSL을 사용해야 합니다. 확인란을 선택하고 Active Directory 루트 CA 인증서를 복사한 후 SSL 인증서 필드에 붙여넣습니다.
인증서가 PEM 형식인지 확인하고 "BEGIN CERTIFICATE" 및 "END CERTIFICATE" 줄을 포함합니다. 디렉토리에 여러 도메인이 있는 경우 모든 도메인의 루트 CA 인증서를 하나씩 추가합니다.
참고: Active Directory가 SSL을 요구하지만 사용자가 인증서를 제공하지 않으면 디렉토리를 만들 수 없습니다.
- 기본 DN 필드에 계정 검색을 시작할 DN을 입력합니다. 예를 들어 OU=myUnit,DC=myCorp,DC=com을 입력합니다.
- 바인딩 DN 필드에 사용자를 검색할 수 있는 계정을 입력합니다. 예를 들어 CN=binduser,OU=myUnit,DC=myCorp,DC=com을 입력합니다.
참고: 만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.
- 바인딩 암호를 입력한 후에 연결 테스트를 클릭하여 해당 디렉토리를 Active Directory에 연결할 수 있는지 확인합니다.
|
Active Directory(Windows 통합 인증) |
- 커넥터 동기화 텍스트 상자에서 Active Directory와 동기화하는 데 사용할 connector를 선택합니다.
- 인증 텍스트 상자에서 이 Active Directory가 사용자를 인증하는 데 사용되는 경우 예를 클릭합니다.
타사 ID 제공자가 사용자를 인증하는 데 사용되면 아니요를 클릭합니다. 사용자 및 그룹을 동기화하도록 Active Directory 연결을 구성한 후에 [ID 및 액세스 관리] > [관리] > [ID 제공자] 페이지로 가서 인증을 위한 타사 ID 제공자를 추가합니다.
- 디렉토리 검색 특성 텍스트 상자에서 사용자 이름이 포함된 계정 특성을 선택합니다.
- Active Directory가 STARTTLS 암호화를 요구하는 경우 인증서 섹션에서 이 디렉토리에 대한 모든 연결은 STARTTLS를 사용해야 합니다. 확인란을 선택하고 Active Directory 루트 CA 인증서를 복사한 후 SSL 인증서 텍스트 상자에 붙여 넣습니다.
인증서가 PEM 형식인지 확인하고 "BEGIN CERTIFICATE" 및 "END CERTIFICATE" 줄을 포함합니다. 디렉토리에 여러 도메인이 있는 경우 모든 도메인의 루트 CA 인증서를 하나씩 추가합니다.
참고: Active Directory가 STARTTLS를 요구하지만 사용자가 인증서를 제공하지 않으면 디렉토리를 만들 수 없습니다.
- (Linux만 해당) 가입할 Active Directory 도메인의 이름을 입력합니다. 도메인에 가입할 수 있는 권한이 있는 사용자 이름과 암호를 입력합니다. 자세한 정보는 도메인 가입에 필요한 사용 권한(Linux 가상 장치만 해당)의 내용을 참조하십시오.
- 바인딩 사용자 세부 정보 섹션에서 필요한 도메인에 대한 사용자 및 그룹을 쿼리하기 위한 권한이 있는 바인딩 사용자의 사용자 이름 및 암호를 입력합니다. 사용자 이름으로 sAMAccountName(예: jdoe)을 입력합니다. 바인딩 사용자의 도메인이 위에 입력한 가입 도메인과 다른 경우 사용자 이름을 sAMAccountName@domain으로 입력합니다. 여기서 domain은 정규화된 도메인 이름입니다. 예를 들어 [email protected]을 입력합니다.
참고: 만료되지 않는 암호를 사용하는 바인딩 사용자 계정을 사용하는 것이 좋습니다.
|
- 저장 및 다음을 클릭합니다.
도메인 목록이 있는 페이지가 표시됩니다.
- [LDAP를 통한 Active Directory]의 경우 확인 표시와 함께 도메인이 나열됩니다.
[Active Directory(통합 Windows 인증)]의 경우 이 Active Directory 연결과 연결되어야 하는 도메인을 선택합니다.
참고: 디렉토리가 생성된 후에 신뢰하는 도메인을 추가하면 서비스에서 신뢰하는 새 도메인을 자동으로 감지하지 못합니다. 서비스에서 도메인을 감지하도록 설정하려면
connector가 도메인을 탈퇴한 다음 다시 가입해야 합니다.
connector가 도메인에 다시 가입하면 신뢰하는 도메인이 목록에 나타납니다.
다음을 클릭합니다.
- VMware Identity Manager 디렉토리 특성 이름이 올바른 Active Directory 특성에 매핑되는지 확인하고 필요에 따라 변경을 수행한 후 다음을 클릭합니다.
- Active Directory에서 VMware Identity Manager 디렉토리로 동기화하려는 그룹을 선택합니다.
그룹이 여기에 추가되면 그룹 이름이 디렉토리로 동기화됩니다. 그룹 멤버인 사용자는 그룹에 애플리케이션 사용 권한이 부여되거나 그룹 이름이 액세스 정책 규칙에 추가될 때까지 디렉토리로 동기화되지 않습니다. 예약된 후속 동기화는 모두 이러한 그룹 이름에 대한 업데이트된 정보를 Active Directory에서 가져옵니다.
옵션 |
설명 |
그룹 DN 지정 |
그룹을 선택하려면 하나 이상의 그룹 DN을 지정하고 아래에 있는 그룹을 선택합니다.
- +를 클릭하고 그룹 DN을 지정합니다. 예: CN=users,DC=example,DC=company,DC=com.
중요: 입력한 기본 DN 아래에 있는 그룹 DN을 지정합니다. 그룹 DN이 기본 DN 외부에 있으면 해당 DN의 사용자가 동기화되지만 로그인할 수는 없습니다.
- 그룹 찾기를 클릭합니다.
동기화할 그룹 열에 DN에 있는 그룹 수가 표시됩니다.
- DN의 모든 그룹을 선택하려면 모두 선택을 클릭하고, 그렇지 않으면 선택을 클릭하고 동기화할 특정 그룹을 선택합니다.
참고: 그룹을 동기화할 때 Active Directory에서 [도메인 사용자]가 기본 그룹으로 포함되어 있지 않은 사용자는 동기화되지 않습니다.
|
중첩된 그룹 멤버 동기화 |
중첩된 그룹 멤버 동기화 옵션이 기본적으로 사용되도록 설정되어 있습니다. 이 옵션이 사용되도록 설정되면 그룹에 사용 권한이 부여될 경우 선택한 그룹에 직접 속하는 모든 사용자와 그 아래 중첩된 그룹에 속하는 모든 사용자가 동기화됩니다. 중첩된 그룹은 동기화되지 않고 중첩된 그룹에 속하는 사용자만 동기화됩니다. VMware Identity Manager 디렉토리에서 이러한 사용자는 동기화를 위해 선택한 상위 그룹의 멤버가 됩니다. 중첩된 그룹 멤버 동기화 옵션을 사용하지 않도록 설정하면 동기화할 그룹을 지정할 때 해당 그룹에 직접 속하는 모든 사용자가 동기화됩니다. 그 아래 중첩된 그룹에 속하는 사용자는 동기화되지 않습니다. 대규모 Active Directory 구성에서 그룹 트리를 탐색하는 데 리소스와 시간이 많이 소요되는 경우 이 옵션을 사용하지 않도록 설정하는 것이 좋습니다. 이 옵션을 사용하지 않도록 설정하는 경우 동기화할 사용자가 속하는 모든 그룹을 선택해야 합니다. |
- 다음을 클릭합니다.
- 동기화할 사용자를 지정합니다.
그룹의 멤버는 그룹에 애플리케이션 사용 권한이 부여되거나 그룹이 액세스 정책 규칙에 추가될 때까지 디렉토리로 동기화되지 않으므로 그룹 사용 권한이 구성되기 전에 인증을 받아야 하는 모든 사용자를 추가합니다.
- +를 클릭하고 사용자 DN을 입력합니다. 예: CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
중요: 입력한 기본 DN 아래에 있는 사용자 DN을 지정합니다. 사용자 DN이 기본 DN 외부에 있으면 해당 DN의 사용자가 동기화되지만 로그인할 수는 없습니다.
- (선택 사항) 사용자를 제외하려면 필터를 만들어 일부 사용자 유형을 제외합니다.
필터 기준으로 사용할 사용자 특성, 사용할 쿼리 규칙을 선택하고 해당 값을 추가합니다. 값은 대/소문자를 구분합니다.
*^()?!$ 문자는 문자열에 사용할 수 없습니다.
- 동기화할 사용자를 지정합니다.
그룹의 멤버는 그룹에 애플리케이션 사용 권한이 부여되거나 그룹이 액세스 정책 규칙에 추가될 때까지 디렉토리로 동기화되지 않으므로 그룹 사용 권한이 구성되기 전에 인증을 받아야 하는 모든 사용자를 추가합니다.
- +를 클릭하고 사용자 DN을 입력합니다. 예: CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.
중요: 입력한 기본 DN 아래에 있는 사용자 DN을 지정합니다. 사용자 DN이 기본 DN 외부에 있으면 해당 DN의 사용자가 동기화되지만 로그인할 수는 없습니다.
- (선택 사항) 사용자를 제외하려면 선택된 특성을 기준으로 사용자를 제외하는 필터를 생성합니다. 여러 개의 제외 필터를 생성할 수 있습니다.
필터 기준으로 사용할 사용자 특성과 정의한 값에 적용할 쿼리 필터를 선택합니다.
옵션 |
설명 |
포함 |
특성 및 값 집합과 일치하는 모든 사용자를 제외합니다. 예를 들어 name contains Jane은 이름이 "Jane"인 사용자를 제외합니다. |
포함하지 않음 |
특성 및 값 집합과 일치하는 사용자를 제외한 모든 사용자를 제외합니다. 예를 들어, telephoneNumber does not contain 800의 경우 전화번호에 "800"이 포함되는 사용자만 포함합니다. |
시작 문자 |
특성 값에서 해당 문자가 <xxx>로 시작되는 모든 사용자를 제외합니다. 예를 들어, employeeID begins with ACME0의 경우 직원 ID의 ID 번호 맨 처음에 "ACME0"이 포함되는 모든 사용자를 제외합니다. |
끝 문자 |
특성 값에서 해당 문자가 <yyy>로 끝나는 모든 사용자를 제외합니다. 예를 들어, mail ends with example1.com의 경우 이메일 주소가 "example1.com"으로 끝나는 모든 사용자를 제외합니다. |
값은 대/소문자를 구분합니다. 값 문자열에서 다음 기호는 사용할 수 없습니다.
- 별표
*
- 캐럿
^
- 괄호
(
)
- 물음표
?
- 느낌표
!
- 달러 기호
$
- 다음을 클릭합니다.
- 페이지를 검토하여 디렉토리에 동기화되는 사용자 및 그룹의 수를 확인하고 동기화 스케줄을 확인합니다.
사용자 및 그룹을 변경하거나 동기화 빈도를 변경하려면 편집 링크를 클릭합니다.
- 디렉토리 동기화를 클릭하여 디렉토리에 대한 동기화를 시작합니다.
결과
Active Directory 연결이 설정되고 사용자 및 그룹 이름이 Active Directory에서 VMware Identity Manager 디렉토리로 동기화됩니다. 바인딩 사용자는 기본적으로 VMware Identity Manager에서 관리자 역할을 가집니다.
그룹이 동기화되는 방법에 대한 자세한 내용은 "VMware Identity Manager 관리" 에서 "사용자 및 그룹 관리"를 참조하십시오.
다음에 수행할 작업
- 인증 방법을 설정합니다. 사용자 및 그룹 이름이 디렉토리로 동기화된 후에, 커넥터도 인증에 사용되는 경우 커넥터에서 추가 인증 방법을 설정할 수 있습니다. 타사가 인증 ID 제공자인 경우 커넥터에서 해당 ID 제공자를 구성합니다.
- 기본 액세스 정책을 검토합니다. 기본 액세스 정책은 전체 네트워크 범위의 모든 장치가 8시간의 세션 시간 초과 설정으로 웹 포털에 액세스하거나 2,160시간(90일)의 세션 시간 초과 설정으로 클라이언트 애플리케이션에 액세스할 수 있도록 구성되어 있습니다. 기본 액세스 정책을 변경할 수 있으며 웹 애플리케이션을 카탈로그에 추가할 때 새 정책을 생성할 수 있습니다.
- (온-프레미스) 필요한 경우 사용자 지정 브랜딩을 VMware Identity Manager 콘솔, 사용자 포털 페이지 및 로그인 화면에 적용합니다.