SSO(싱글 사인온)에 대해 VMware CSP(Cloud Services Platform)를 구성하려면 이 절차의 단계를 수행합니다.

사전 요구 사항

VMware 계정 ID를 사용하여 VMware CSP 콘솔(스테이징 또는 운영 환경)에 로그인합니다. VMware Cloud를 처음 사용하며 VMware 계정이 없는 경우에는 등록할 때 새로 만들 수 있습니다. 자세한 내용은 VMware Cloud 사용 설명서의 ‘VMware CSP에 등록하는 방법’ 섹션을 참조하십시오.

프로시저

  1. SASE Orchestrator 애플리케이션을 VMware CSP에 등록하기 위한 서비스 초대 URL 링크를 수신하려면 VMware 지원 제공자에게 문의하십시오. 지원 제공자에 문의하는 방법에 대한 자세한 내용은 https://kb.vmware.com/s/article/53907https://www.vmware.com/support/contacts/us_support.html 항목을 참조하십시오.
    VMware 지원 제공자는 다음을 생성하고 공유합니다.
    • 고객 조직으로 회수해야 하는 서비스 초대 URL
    • Orchestrator의 역할 매핑에 사용할 서비스 정의 UUID 및 서비스 역할 이름
  2. UI 화면의 단계에 따라 기존 고객 조직으로 서비스 초대 URL을 회수하거나 새 고객 조직을 생성합니다.
    기존 고객 조직에 서비스 초대 URL을 회수하려면 조직 소유자여야 합니다.
  3. 서비스 초대를 회수한 후 VMware CSP 콘솔에 로그인하면 VMware Cloud Services 페이지의 내 서비스(My Services) 영역에서 애플리케이션 타일을 볼 수 있습니다.
    로그인한 조직이 메뉴 표시줄의 사용자 이름 아래에 표시됩니다. 사용자 이름을 클릭하여 Orchestrator 구성 중에 사용할 조직 ID를 기록해 둡니다. ID의 축약 버전이 조직 이름 아래에 표시됩니다. ID를 클릭하여 전체 조직 ID를 표시합니다.
  4. VMware CSP 콘솔에 로그인하고 OAuth 애플리케이션을 생성합니다. 단계에 대해서는 웹앱용 OAuth 2.0 사용을 참조하십시오. 리디렉션 URI를 Orchestrator의 인증 구성(Configure Authentication) 화면에 표시된 URL로 설정해야 합니다.
    VMware CSP 콘솔에서 OAuth 애플리케이션을 생성한 후에는 클라이언트 ID 및 클라이언트 암호와 같은 IDP 통합 세부 정보를 기록해 둡니다. 이러한 세부 정보는 Orchestrator의 SSO 구성에 필요합니다.
  5. 슈퍼 관리자로 SASE Orchestrator 애플리케이션에 로그인하고 다음과 같이 IDP 통합 세부 정보를 사용하여 SSO를 구성합니다.
    1. 관리(Administration) > 사용자 관리(User Management)를 클릭합니다.
      참고: SASE Orchestrator에 대해 SSO 인증을 사용하도록 설정하려면 엔터프라이즈의 도메인 이름을 설정해야 합니다.
    2. 인증(Authentication) 탭을 클릭하고 인증 모드(Authentication Mode) 드롭다운 메뉴에서 SSO를 선택합니다.
    3. ID 제공자 템플릿(Identity Provider template) 드롭다운 메뉴에서 VMwareCSP를 선택합니다.
    4. 조직 ID(Organization Id) 텍스트 상자에 "/csp/gateway/am/api/orgs/<전체 조직 ID>" 형식으로 조직 ID(3단계에서 적어둔)를 입력합니다.
    5. OIDC 잘 알려진 구성 URL(OIDC well-known config URL) 텍스트 상자에 IDP에 대한 OIDC(OpenID Connect) 구성 URL(https://console.cloud.vmware.com/csp/gateway/am/api/.well-known/openid-configuration)을 입력합니다.
      SASE Orchestrator 애플리케이션은 IDP에 대한 발급자, 인증 끝점, 토큰 끝점 및 사용자 정보 끝점과 같은 끝점 세부 정보를 자동으로 채웁니다.
    6. 클라이언트 ID(Client Id) 텍스트 상자에 OAuth 애플리케이션 생성 단계에서 적어둔 클라이언트 ID를 입력합니다.
    7. 클라이언트 암호(Client Secret) 텍스트 상자에 OAuth 애플리케이션 생성 단계에서 적어둔 암호 코드를 입력합니다.
    8. SASE Orchestrator에서 사용자의 역할을 확인하려면 기본 역할 사용(Use Default Role) 또는 ID 제공자 역할 사용(Use Identity Provider Roles)을 선택합니다.
    9. ID 제공자 역할 사용(Use Identity Provider Roles) 옵션을 선택하면 역할 특성(Role Attribute) 텍스트 상자에 VMware CSP에 설정된 특성의 이름을 입력하여 역할을 반환합니다.
    10. 역할 맵(Role Map) 영역에서 쉼표로 구분하여 각 SASE Orchestrator 역할에 VMwareCSP 제공 역할을 매핑합니다.
      VMware CSP의 역할은 external/<서비스 정의 UUID>/<서비스 템플릿 생성 중에 언급한 서비스 역할 이름> 형식을 따릅니다. 지원 제공자로부터 받은 것과 동일한 서비스 정의 UUID 및 서비스 역할 이름을 사용합니다.
  6. 변경 내용 저장(Save Changes)을 클릭하여 SSO 구성을 저장합니다.
  7. 구성 테스트(Test Configuration)를 클릭하여 입력한 OIDC(OpenID Connect) 구성이 유효한지 검사합니다.
    사용자가 VMware CSP 웹 사이트로 이동되며 자격 증명을 입력하도록 허용합니다. IDP 확인과 SASE Orchestrator 테스트 호출로의 성공적인 리디렉션 시 유효성 검사 성공 메시지가 표시됩니다.

결과

SSO용 VMware CSP에서 SASE Orchestrator 애플리케이션 통합을 완료했으며 VMware CSP 콘솔에 로그인하여 SASE Orchestrator 애플리케이션 액세스할 수 있습니다.

다음에 수행할 작업

  • 조직 내에서 새 사용자를 추가하고 사용자에게 적절한 역할을 할당하여 사용자를 관리합니다. 자세한 내용은 VMware Cloud 사용 설명서의 "ID 및 액세스 관리" 섹션을 참조하십시오.