이 섹션에서는 SSO(싱글 사인온)를 위한 IdP(ID 제공자)로서 VMware CSP(VMware Cloud Services Platform)를 통해 사용자 계정을 관리하는 VMware SD-WAN 고객에 대해 설명합니다.

개요

SSO(싱글 사인온)를 사용하도록 구성된 고객은 여러 IdP(ID 제공자)를 사용하여 사용자를 관리할 수 있습니다. 이 섹션에서는 VMware IdP: CSP(Cloud Services Platform)에 대해 설명합니다.
팁: CSP는 모든 VMware SaaS 제공에 대한 일반적인 수명주기 관리 플랫폼입니다. 다른 VMware SaaS 제공과 마찬가지로 CSP에는 온보딩, 인증, 청구, 주문, 지원 및 고객 알림이 포함됩니다. 릴리스 5.2.0의 VMware SASE(SD-WAN 포함)와의 CSP 통합은 이후 릴리스에 제공될 추가 통합을 통한 인증 및 권한 부여로 제한됩니다.

CSP는 SAML 및 OIDC를 지원하는 IdP와 통합하면서 여러 Orchestrator에서 사용자 관리를 통합하고 간소화하며, 정부 규정을 준수하기 위한 단일 터치 지점을 제공합니다.

중요: 파트너에 할당되지 않은 릴리스 5.2.0 호스팅 Orchestrator에서 생성된 고객은 CSP를 IdP로 사용하여 SSO용으로 자동으로 구성됩니다. 결과적으로 다음이 수행됩니다.
  • 수퍼유저 역할의 관리자가 CSP 포털을 통해 새 관리자를 생성합니다.
  • CSP 중단이 발생할 경우 고객은 로컬 인증(사용자 이름/암호)을 사용하여 "비상” 포털에 액세스하도록 허용되므로 포털에 액세스할 수 있습니다.
  • 새 직접 고객은 API 액세스를 위해 토큰 기반 인증을 사용해야 합니다. 사용자 생성이 CSP로 이동되면 쿠키 기반 인증을 사용할 수 없습니다.

이후 SD-WAN 릴리스에서 VMware에서는 호스팅된 Orchestrator를 사용하는 모든 신규 고객 또는 기존 고객이 CSP를 IdP로 사용하도록 엔터프라이즈를 구성하도록 요구합니다.

온-프레미스 Orchestrator는 CSP 요구 사항을 따르지 않으며 고객은 Orchestrator 기반 인증을 계속 사용합니다.

사전 요구 사항

할당된 VMware SASE Orchestrator에서 SD-WAN 계정을 구성하려면 먼저 SD-WAN을 구매해야 합니다.

Cloud Services Platform에서 고객 조직 생성

고객의 SD-WAN 주문이 확인되면 다음이 수행됩니다.
  1. VMware에서 아래에 표시된 것과 유사한 초대 이메일을 보냅니다.

    이 이메일에는 엔터프라이즈를 관리하는 데 사용할 Orchestrator에 대한 링크와 CSP에서 조직을 생성하기 위한 링크가 포함되어 있습니다.
    참고: 고객 도메인 세부 정보는 지리적 위치를 기준으로 엔터프라이즈가 할당될 Orchestrator를 결정할 뿐만 아니라 Orchestrator의 고객 계정에 대한 기초를 형성합니다.
  2. 이메일이 "이 링크에 따라 CSP 계정을 설정(Follow this link to setup your CSP account)"을 표시하면 링크를 클릭하여 CSP 조직을 설정합니다.
  3. 이 링크를 클릭하면 CSP 계정을 구성할 CSP 사이트로 리디렉션되며 이 사이트는 기존 조직 또는 새 조직일 수 있습니다.
  4. 조직(Organization) > 세부 정보(Details)에서 VMware SASE가 주문의 일부로 제공한 조직 ID를 포함하여 계정의 세부 정보를 구성합니다.
    중요: CSP 고객 온보딩 중에 실제 주소를 제공해야 합니다. 또한 페더레이션을 구성하기 전에 고객 도메인 이름이 검증됩니다.
    그런 다음, 조직(Organization) > OAuth 애플리케이션(OAuth Apps) 탭을 클릭하여 이 페이지의 다른 필드 및 옵션과 함께 ID 제공자에 연결된 도메인(Domains Linked to Identity Provider)을 구성합니다.

  5. CSP 조직 구성을 완료했으므로 이제 CSP 조직에 새 사용자를 추가할 수 있습니다.

CSP 조직에 사용자 추가

  1. VMware Cloud Services 페이지에서 ID 및 액세스 관리(Identity & Access Management) 탭을 클릭한 다음, 활성 사용자(Active Users)를 클릭하고 새 사용자 추가(Add New Users)를 클릭합니다.

  2. 새 사용자 추가(Add New Users) 페이지에서 이메일 주소로 새 사용자를 추가할 수 있습니다. 사용자에게는 다음 두 가지 역할이 할당되어야 합니다.
    1. 조직 역할(Organization Role)(또는 역할)을 할당합니다. 이것은 CSP 조직 내에서의 역할입니다.
    2. 서비스 역할(Service Role)을 할당합니다. 이 역할은 Orchestrator에 로그인할 때 지정되는 역할입니다.
  3. 모든 역할이 구성되면 추가(ADD)를 클릭하여 이러한 사용자를 CSP 조직에 추가합니다.

CSP를 사용하여 SASE Orchestrator에 로그온

이전 단계에서 사용자로 추가된 모든 사용자가 이제 SASE Orchestrator에서 엔터프라이즈에 로그온할 수 있습니다. Orchestrator에 로그인하려면 다음을 수행합니다.
  1. 수신한 이메일 초대를 다시 참조하여 Orchestrator의 로그인 페이지로 이동하고 아래에 강조 표시된 섹션에서 URL 링크를 클릭합니다.

  2. [Orchestrator 로그인(Orchestrator login)] 화면에서 ID 제공자로 로그인(SIGN IN WITH YOUR IDENTITY PROVIDER)을 클릭합니다.

  3. [ID 제공자(Identity Provider)] 페이지에서 계정의 도메인을 입력하고 로그인(SIGN IN)을 클릭합니다.

  4. 그러면 CSP로 다시 리디렉션됩니다.

  5. [CSP 로그인(CSP login)] 화면에서 이메일 주소를 입력하고 다음(NEXT)을 클릭합니다.

    참고: 2FA(2단계 인증)는 Google 인증자를 사용하여 수행됩니다. Twilio는 새 직접 고객에게 사용되지 않습니다.
  6. CSP 계정으로 성공적으로 로그인하면 Orchestrator의 엔터프라이즈 홈 페이지로 다시 리디렉션됩니다. 사용자 보기는 CSP에 할당된 보기와 일치합니다.

추가 리소스

VMware SD-WAN에서 CSP를 IdP로 사용하는 방법에 대한 자세한 내용은 싱글 사인온에 대해 VMware CSP 구성 항목을 참조하십시오.

Cloud Services Platform에서 새 사용자를 추가하는 방법에 대한 자세한 내용은 VMware Cloud Services Console 사용 - ID 및 액세스 관리를 참조하십시오.