엔터프라이즈 LDAP 디렉토리를 VMware Workspace ONE Access와 통합하여 LDAP 디렉토리에서 VMware Workspace ONE Access 서비스로 사용자 및 그룹을 동기화할 수 있습니다.

LDAP 디렉토리를 통합하려면 해당 VMware Workspace ONE Access 디렉토리를 생성하고 LDAP 디렉토리에서 VMware Workspace ONE Access 디렉토리로 사용자 및 그룹을 동기화합니다. 후속 업데이트에 대한 정기 동기화 스케줄을 설정할 수 있습니다.

또한 사용자에 대해 동기화할 LDAP 특성을 선택하여 VMware Workspace ONE Access 특성에 매핑합니다.

LDAP 디렉토리 구성은 기본 스키마 또는 사용자 지정 스키마를 기반으로 할 수 있습니다. 사용자 지정 특성도 포함될 수 있습니다. VMware Workspace ONE Access에서 사용자 또는 그룹 개체를 가져오기 위해 LDAP 디렉토리를 쿼리할 수 있도록 하려면 LDAP 디렉토리에 적용되는 LDAP 검색 필터 및 특성 이름을 제공해야 합니다.

특히 다음 정보를 제공해야 합니다.

  • 그룹, 사용자 및 바인딩 사용자를 가져오기 위한 LDAP 검색 필터
  • 그룹 멤버 자격, 외부 ID 및 고유 이름 또는 동급의 특성에 대한 LDAP 특성 이름

LDAP 디렉토리 통합 기능에는 특정 제한 사항이 적용됩니다. LDAP 디렉토리 통합의 제한 사항을 참조하십시오.

사전 요구 사항

  • 버전 20.01.0.0으로 시작하는 Workspace ONE Access Connector의 구성 요소로 사용할 수 있는 디렉토리 동기화 서비스를 설치합니다. 자세한 내용은 "VMware Workspace ONE Access Connector 설치" 의 최신 버전을 참조하십시오.

    사용자 인증 서비스를 사용하여 디렉토리의 사용자를 인증하려는 경우 사용자 인증 서비스 구성 요소도 설치합니다.

  • ID 및 액세스 관리 > 설정 > 사용자 특성 페이지에서 특성을 검토하고 동기화할 추가 특성을 추가할 수 있습니다. 디렉토리를 만들 때 VMware Workspace ONE Access 특성을 LDAP 디렉토리 특성에 매핑합니다. 이러한 특성은 디렉토리의 사용자에 대해 동기화됩니다.
    참고: 사용자 특성을 변경할 경우 Workspace ONE Access 서비스의 다른 디렉토리에 대한 영향을 고려하십시오. Active Directory와 LDAP 디렉토리를 둘 다 추가하려면 필수로 표시될 수 있는 userName 외에는 어떤 특성도 필수로 표시해서는 안 됩니다. [사용자 특성] 페이지의 설정은 서비스의 모든 디렉토리에 적용됩니다. 특성이 필수로 표시된 경우 해당 특성이 없는 사용자는 VMware Workspace ONE Access 서비스에 동기화되지 않습니다.
  • 바인딩 DN 사용자 계정. 만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.
  • LDAP 디렉토리에서 사용자 및 그룹의 UUID는 일반 텍스트 형식이어야 합니다.
  • LDAP 디렉토리에서 도메인 특성은 모든 사용자 및 그룹에 대해 존재해야 합니다.

    VMware Workspace ONE Access 디렉토리를 만들 때 이 특성을 VMware Workspace ONE Access 도메인 특성에 매핑합니다.

  • 사용자 이름에 공백이 포함되어서는 안 됩니다. 사용자 이름에 공백이 포함된 경우 사용자는 동기화되지만 해당 사용자에게 사용 권한이 제공되지 않습니다.
  • 인증서 인증을 사용하는 경우 사용자에게 userPrincipalName 및 이메일 주소 특성 값이 있어야 합니다.

프로시저

  1. Workspace ONE Access 콘솔에서 ID 및 액세스 관리 > 관리 > 디렉토리 페이지로 이동합니다.
  2. 디렉토리 추가를 클릭하고 LDAP 디렉토리를 선택합니다.
  3. [디렉토리 추가] 페이지에서 필요한 정보를 입력합니다.
    옵션 설명
    디렉토리 이름 VMware Workspace ONE Access 디렉토리의 이름을 입력합니다.
    디렉토리 동기화 및 인증
    1. 디렉토리 동기화 호스트에 대해 이 디렉토리를 동기화하는 데 사용할 하나 이상의 디렉토리 동기화 서비스 인스턴스를 선택합니다. 테넌트에 등록된 모든 디렉토리 동기화 서비스 인스턴스가 나열됩니다. 활성 상태인 인스턴스만 선택할 수 있습니다.

      여러 인스턴스를 선택하는 경우 Workspace ONE Access는 목록에서 첫 번째로 선택한 인스턴스를 사용하여 디렉토리를 동기화합니다. 첫 번째 인스턴스를 사용할 수 없는 경우에는 다음에 선택된 인스턴스를 사용하는 방식으로 계속됩니다. 디렉토리를 생성한 후 디렉토리의 [동기화 설정] 페이지에서 목록을 다시 정렬할 수 있습니다.

    2. 인증에 대해 사용자 인증 서비스를 사용하여 이 디렉토리의 사용자를 인증하려면 를 선택합니다. 사용자 인증 서비스가 이미 설치되어 있어야 합니다. 를 선택하면 암호(클라우드 배포) 인증 방법과 Embedded 유형의 directoryName에 대한 IDP라는 ID 제공자가 디렉토리에 대해 자동으로 생성됩니다.

      사용자 인증 서비스를 사용하여 이 디렉토리의 사용자를 인증하지 않으려면 아니요를 선택합니다. 나중에 사용자 인증 서비스를 사용하기로 한 경우에는 디렉토리에 대해 암호(클라우드 배포) 인증 방법 및 ID 제공자를 수동으로 생성할 수 있습니다. 이렇게 하면 ID 및 액세스 관리 > ID 제공자 페이지에서 ID 제공자 추가 > 기본 제공 IDP 생성을 선택하여 디렉토리에 대한 새 ID 제공자를 생성합니다. 기본 제공이라는 미리 생성된 ID 제공자를 사용하는 것은 권장되지 않습니다.

    3. 사용자 인증 호스트 옵션은 인증로 설정할 때 나타납니다. 이 디렉토리의 사용자를 인증하는 데 사용할 사용자 인증 서비스 인스턴스를 하나 이상 선택합니다. 테넌트에 등록되어 있고 활성 상태인 모든 사용자 인증 서비스 인스턴스가 나열됩니다.

      여러 인스턴스를 선택하면 Workspace ONE Access가 선택한 인스턴스에 왕복으로 인증 요청을 전송합니다.

    4. 사용자 이름 텍스트 상자에서 사용자 이름에 사용할 LDAP 디렉토리 특성을 선택합니다. 이 특성이 나열되지 않으면 사용자 지정을 선택하고 사용자 및 그룹에 사용할 사용자 지정 특성 이름을 입력합니다. 예를 들어 cn을 입력합니다.
    서버 위치 LDAP 디렉토리 서버 호스트 및 포트 번호를 입력합니다. 서버 호스트의 경우 정규화된 도메인 이름 또는 IP 주소를 지정할 수 있습니다. 예를 들어 myLDAPserver.example.com 또는 100.00.00.0을 지정할 수 있습니다.

    로드 밸런서 뒤에 서버 클러스터가 있는 경우 대신 로드 밸런서 정보를 입력합니다.

    LDAP 구성 VMware Workspace ONE Access에서 LDAP 디렉토리를 쿼리하는 데 사용할 수 있는 LDAP 검색 필터 및 특성을 지정합니다. 기본값은 코어 LDAP 스키마에 따라 제공됩니다.

    쿼리 필터

    • 그룹: 그룹 개체를 가져오기 위한 검색 필터입니다.

      예: (objectClass=groupOfNames)

    • 바인딩 사용자: 바인딩 사용자 개체, 즉 디렉토리에 바인딩할 수 있는 사용자를 가져오기 위한 검색 필터입니다.

      예: (objectClass=person)

    • 사용자: 동기화할 사용자를 가져오기 위한 검색 필터입니다.

      예:(&(objectClass=user)(objectCategory=person))

    특성

    • 멤버 자격: LDAP 디렉토리에서 그룹 멤버를 정의하는 데 사용되는 특성입니다.

      예: member

    • 외부 ID: Workspace ONE Access 디렉토리에서 사용자 및 그룹의 고유 식별자로 사용할 특성입니다. 기본값은 entryUUID입니다.
      중요: 모든 사용자에게는 특성에 대해 고유하고 비어 있지 않은 값이 정의되어 있어야 합니다. 값은 Workspace ONE Access 테넌트 전체에서 고유해야 합니다. 해당 특성 값이 없는 경우 디렉토리가 동기화되지 않습니다.

      외부 ID를 설정하는 동안 다음 고려 사항에 유의하십시오.

      • Workspace ONE Access를 Workspace ONE UEM과 통합할 경우 두 제품에서 외부 ID를 동일한 특성으로 설정해야 합니다.
      • 디렉토리를 생성한 후에는 외부 ID를 변경할 수 있습니다. 그러나 모범 사례는 사용자를 Workspace ONE Access와 동기화하기 전에 외부 ID를 설정하는 것입니다. 외부 ID를 변경하면 사용자가 다시 생성됩니다. 결과적으로 모든 사용자가 로그아웃되므로 다시 로그인해야 합니다. 또한 웹 애플리케이션 및 Thinapp에 대한 사용자 사용 권한도 다시 구성해야 합니다. Horizon, Horizon Cloud 및 Citrix에 대한 사용 권한이 삭제된 후 다음 사용 권한 동기화 시 다시 생성됩니다.
      • 외부 ID 옵션은 Workspace ONE Access Connector 20.10 및 19.03.0.1에서 사용할 수 있습니다. Workspace ONE Access 서비스와 연결된 모든 커넥터는 20.10 버전이거나 모두 버전 19.03.0.1이어야 합니다. 다른 버전의 커넥터가 서비스와 연결되어 있는 경우 외부 ID 옵션이 표시되지 않습니다.
    • 고유 이름: (선택 사항) LDAP 디렉토리에서 사용자 또는 그룹의 고유 이름을 정의하는 데 사용되는 특성입니다.

      예: dn

      기본적으로 고유 이름 특성은 사용자 및 그룹 개체를 고유하게 식별하는 데 사용됩니다. LDAP 스키마에 고유 이름 특성이 없는 경우 고급 LDAP 구성 사용 옵션을 선택하고 그룹 및 사용자를 식별하는 데 사용할 값을 입력합니다.

    • 고급 LDAP 구성 사용: 고급 LDAP 구성 옵션을 보려면 이 확인란을 선택합니다. LDAP 스키마에 고유 이름 특성이 없거나 posixGroups를 사용하는 경우 고급 구성을 사용합니다.
      • 그룹 필터: 그룹을 쿼리하고 식별하는 데 사용할 값입니다. 이 값은 LDAP 스키마에 고유 이름 특성이 없는 경우에 필요합니다.

        예: cn

      • 사용자 필터: 사용자를 쿼리하고 식별하는 데 사용할 값입니다. 이 값은 LDAP 스키마에 고유 이름 특성이 없는 경우에 필요합니다.

        예: uid

      • 사용자 멤버 자격 매핑 필터: (선택 사항) 이 옵션은 일반적으로 posixGroups를 사용하는 LDAP 디렉토리에 필요합니다. 사용자 멤버 자격 매핑 필터는 멤버 자격 특성으로 인해 반환되는 사용자를 쿼리하고 식별하는 데 사용됩니다.

        예: uidNumber

    암호화 LDAP 디렉토리에 SSL을 통한 액세스가 필요한 경우 모든 연결에 LDAPS 필요 확인란을 선택하고 LDAP 디렉토리 서버의 루트 CA SSL 인증서를 복사한 후 텍스트 상자에 붙여넣습니다. 인증서가 PEM 형식인지 확인하고 "BEGIN CERTIFICATE" 및 "END CERTIFICATE" 줄을 포함합니다.
    바인딩 사용자 세부 정보 기본 DN: 검색을 시작할 DN을 입력합니다. 예: cn=users,dc=example,dc=com
    바인딩 사용자 DN: LDAP 디렉토리에 바인딩하는 데 사용할 사용자 이름을 입력합니다.
    참고: 만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.

    바인딩 사용자 암호: 바인딩 DN 사용자의 암호를 입력합니다.

  4. 저장 및 구성을 클릭합니다.
  5. [도메인] 페이지에서 올바른 도메인이 나열되어 있는지 확인한 후 다음을 클릭합니다.
  6. [특성 매핑] 페이지에서 VMware Workspace ONE Access 특성이 올바른 LDAP 디렉토리 특성에 매핑되어 있는지 확인하고 필요하면 변경합니다.

    이러한 특성은 사용자에 대해 동기화됩니다.

    중요: 도메인 특성에 대한 매핑을 지정해야 합니다.

    설정 > 사용자 특성 페이지에서 특성을 추가하고 필수 특성 목록을 관리할 수 있습니다.

    중요: 특성이 필수로 표시되면 동기화하려는 모든 사용자에 대해 해당 값을 설정해야 합니다. 필수 특성 값이 누락된 사용자 레코드는 동기화되지 않습니다.
  7. 다음을 클릭합니다.
  8. LDAP 디렉토리에서 Workspace ONE Access 디렉토리로 동기화하려는 그룹을 선택합니다.
    그룹을 추가할 때는 다음 고려 사항을 염두에 두십시오.
    • 가장 좋은 방법은 디렉토리를 생성할 때 소수의 그룹을 추가하고 동기화하는 것입니다. 초기 설정 후에 그룹을 더 추가할 수 있습니다.
    • 그룹을 추가하고 동기화하면 그룹 이름이 디렉토리로 동기화됩니다. 그룹 멤버인 사용자는 그룹에 애플리케이션 사용 권한이 부여되거나 그룹 이름이 액세스 정책 규칙에 추가될 때까지 디렉토리로 동기화되지 않습니다.
      참고: ID 및 액세스 관리 > 설정 > 환경설정 페이지에서 그룹을 추가할 때 디렉토리에 그룹 구성원 동기화 옵션을 사용하도록 설정하여 이 제한을 재정의할 수 있습니다.
    • LDAP 디렉토리에 이름이 같은 여러 그룹이 있는 경우 그룹 페이지에서 해당 그룹에 대한 고유 이름을 지정해야 합니다.
    그룹을 선택하려면 하나 이상의 그룹 DN을 지정하고 아래에 있는 그룹을 선택합니다.
    1. 최상위 수준 그룹 지정 행에서 +를 클릭하고 그룹 DN을 지정합니다. 예: CN=users,DC=example,DC=company,DC=com.
      팁: 검색에는 시간이 오래 걸리므로 검색할 기본 DN과 같은 상위 수준 DN을 입력하는 것은 권장되지 않습니다. 검색할 좀 더 구체적인 DN을 입력하십시오.
      중요: [디렉토리 추가] 페이지의 기본 DN 텍스트 상자에 입력한 기본 DN 아래에 있는 그룹 DN을 지정합니다. 그룹 DN이 기본 DN 외부에 있으면 해당 DN의 사용자가 동기화되지만 로그인할 수는 없습니다.
    2. 추가한 그룹 DN 아래에 있는 모든 그룹을 선택하려면 모두 선택 확인란을 클릭합니다.
      디렉토리가 생성된 후 Active Directory의 그룹 DN에서 그룹을 추가하거나 삭제하면 후속 동기화 시 변경 내용이 반영됩니다.
    3. 그룹 DN 아래에 있는 모든 그룹을 선택하지 않고 특정 그룹을 선택하려는 경우 그룹 선택을 클릭하고 원하는 항목을 선택한 다음, 저장을 클릭합니다.
      그룹 선택을 클릭하면 DN에 있는 모든 그룹이 나열됩니다. 검색 상자에 검색 용어를 입력하여 결과 범위를 좁히거나 특정 그룹을 검색할 수 있습니다.
    4. 필요에 따라 중첩된 그룹 멤버 동기화 옵션을 선택하거나 선택을 취소합니다.
      중첩된 그룹 멤버 동기화 옵션이 기본적으로 사용되도록 설정되어 있습니다. 이 옵션이 사용되도록 설정되면 그룹에 사용 권한이 부여될 경우 선택한 그룹에 직접 속하는 모든 사용자와 그 아래 중첩된 그룹에 속하는 모든 사용자가 동기화됩니다. 중첩된 그룹은 동기화되지 않고 중첩된 그룹에 속하는 사용자만 동기화됩니다. Workspace ONE Access 디렉토리에서 이러한 사용자는 동기화를 위해 선택한 상위 그룹의 멤버가 됩니다.

      중첩된 그룹 멤버 동기화 옵션을 사용하지 않도록 설정하면 동기화할 그룹을 지정할 때 해당 그룹에 직접 속하는 모든 사용자가 동기화됩니다. 그 아래 중첩된 그룹에 속하는 사용자는 동기화되지 않습니다. 대규모 디렉토리 구성에서 그룹 트리를 탐색하는 데 리소스와 시간이 많이 소요되는 경우 이 옵션을 사용하지 않도록 설정하는 것이 좋습니다. 이 옵션을 사용하지 않도록 설정하는 경우 동기화할 사용자가 속하는 모든 그룹을 선택해야 합니다.

  9. 다음을 클릭합니다.
  10. 동기화할 사용자를 선택합니다.
    사용자를 추가할 때는 다음 고려 사항을 염두에 두십시오.
    • 그룹의 멤버는 그룹에 애플리케이션 사용 권한이 부여되거나 그룹이 액세스 정책 규칙에 추가될 때까지 디렉토리로 동기화되지 않으므로 그룹 사용 권한이 구성되기 전에 인증을 받아야 하는 모든 사용자를 추가합니다.
    • [바인딩 세부 정보] 섹션에서 지정한 바인딩 사용자는 기본적으로 Workspace ONE Access 서비스와 동기화되지 않습니다. 바인딩 사용자를 동기화하려면 이 탭에 사용자 DN을 입력합니다.
    1. 사용자 DN 지정 행에서 +를 클릭하고 사용자 DN을 입력합니다. 예:

      CN=username,CN=Users,OU=Sales,DC=example,DC=com

      중요: [디렉토리 추가] 페이지의 기본 DN 텍스트 상자에 입력한 기본 DN 아래에 있는 사용자 DN을 지정합니다. 사용자 DN이 기본 DN 외부에 있으면 해당 DN의 사용자가 동기화되지만 로그인할 수는 없습니다.

      사용자 DN이 유효한지 확인하고 동기화할 사용자 수를 보려면 해당 행에 대해 테스트 버튼을 클릭합니다.

    2. 필요한 경우 DN에서 사용자를 포함하거나 제외하는 필터를 지정합니다.
      자세한 정보는 Workspace ONE Access에서 디렉토리 동기화를 위한 필터 지정의 내용을 참조하십시오.
  11. [동기화 빈도] 페이지에서 정기적으로 사용자 및 그룹을 동기화하도록 동기화 스케줄을 설정하거나, 스케줄을 설정하지 않으려면 동기화 빈도 드롭다운 목록에서 수동을 선택합니다.
    시간은 UTC(협정 세계시)로 설정됩니다.
    팁: 동기화 간격을 동기화할 시간보다 더 길게 스케줄링하십시오. 다음 동기화가 스케줄링될 때 사용자 및 그룹을 디렉토리에 동기화하도록 하면 이전 동기화가 끝나는 즉시 새 동기화가 시작됩니다. 이 일정을 사용하면 동기화 프로세스가 연속적으로 진행됩니다.
    수동을 선택하는 경우 디렉토리를 동기화할 때마다 디렉토리 페이지에서 동기화 버튼을 클릭해야 합니다.
  12. 저장을 클릭하여 디렉토리를 생성하거나 디렉토리 동기화를 클릭하여 디렉토리를 생성하고 동기화를 시작합니다.

결과

LDAP 디렉토리에 대한 연결이 설정됩니다. 디렉토리 동기화를 클릭한 경우 LDAP 디렉토리에서 Workspace ONE Access 디렉토리로 사용자 및 그룹 이름이 동기화됩니다.

그룹이 동기화되는 방법에 대한 자세한 내용은 "VMware Workspace ONE Access 관리" 에서 "사용자 및 그룹 관리"를 참조하십시오.

다음에 수행할 작업

  • [인증] 옵션을 [예]로 설정하면 directoryname에 대한 IDP라는 ID 제공자와 암호(클라우드 배포) 인증 방법이 해당 디렉토리에 대해 자동으로 생성됩니다. ID 및 액세스 관리 > 관리 > ID 제공자 엔터프라이즈 인증 방법 페이지에서 이러한 항목을 볼 수 있습니다. 엔터프라이즈 인증 방법 탭에서 디렉토리에 대한 추가 인증 방법을 생성할 수도 있습니다. 인증 방법 생성에 대한 자세한 내용은 Workspace ONE Access에서 사용자 인증 방법 관리를 참조하십시오.
  • ID 및 액세스 관리 > 관리 > 정책페이지에서 기본 액세스 정책을 검토합니다.
  • 기본 동기화 세이프가드 설정을 검토하고 필요한 경우 변경합니다. 자세한 정보는 Workspace ONE Access에서 디렉토리 동기화 세이프가드 설정의 내용을 참조하십시오.