엔터프라이즈 LDAP 디렉토리를 Workspace ONE Access와 통합하여 LDAP 디렉토리에서 Workspace ONE Access 서비스로 사용자 및 그룹을 동기화할 수 있습니다.

LDAP 디렉토리를 통합하려면 해당 Workspace ONE Access 디렉토리를 생성하고 LDAP 디렉토리에서 Workspace ONE Access 디렉토리로 사용자 및 그룹을 동기화합니다. 후속 업데이트에 대한 정기 동기화 스케줄을 설정할 수 있습니다.

또한 사용자에 대해 동기화할 LDAP 특성을 선택하여 Workspace ONE Access 특성에 매핑합니다.

LDAP 디렉토리 구성은 기본 스키마 또는 사용자 지정 스키마를 기반으로 할 수 있습니다. 사용자 지정 특성도 포함될 수 있습니다. Workspace ONE Access에서 사용자 또는 그룹 개체를 가져오기 위해 LDAP 디렉토리를 쿼리할 수 있도록 하려면 LDAP 디렉토리에 적용되는 LDAP 검색 필터 및 특성 이름을 제공해야 합니다.

특히 다음 정보를 제공해야 합니다.

  • 그룹, 사용자 및 바인딩 사용자를 가져오기 위한 LDAP 검색 필터
  • 그룹 멤버 자격, 외부 ID 및 고유 이름 또는 동급의 특성에 대한 LDAP 특성 이름

LDAP 디렉토리 통합 기능에는 특정 제한 사항이 적용됩니다. LDAP 디렉토리 통합의 제한 사항을 참조하십시오.

사전 요구 사항

  • 버전 20.01.0.0으로 시작하는 Workspace ONE Access Connector의 구성 요소로 사용할 수 있는 디렉토리 동기화 서비스를 설치합니다. 자세한 내용은 "VMware Workspace ONE Access Connector 설치" 의 최신 버전을 참조하십시오.

    사용자 인증 서비스를 사용하여 디렉토리의 사용자를 인증하려는 경우 사용자 인증 서비스 구성 요소도 설치합니다.

  • 설정 > 사용자 특성 페이지에서 사용자 특성을 검토하고 필요한 경우 동기화할 추가 특성을 추가합니다. 디렉토리를 만들 때 Workspace ONE Access 특성을 LDAP 디렉토리 특성에 매핑합니다. 이러한 특성은 디렉토리의 사용자에 대해 동기화됩니다.
    참고: 사용자 특성을 변경할 경우 Workspace ONE Access 서비스의 다른 디렉토리에 대한 영향을 고려하십시오. Active Directory와 LDAP 디렉토리를 둘 다 추가하려면 Username 외에는 어떤 특성도 필수로 표시해서는 안 됩니다. [사용자 특성] 페이지의 설정은 서비스의 모든 디렉토리에 적용됩니다. 특성이 필요한 경우 해당 특성이 없는 사용자는 Workspace ONE Access 서비스에 동기화되지 않습니다.
  • 바인딩 DN 사용자 계정. 만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.
  • LDAP 디렉토리에서 사용자 및 그룹의 UUID는 일반 텍스트 형식이어야 합니다.
  • LDAP 디렉토리에서 도메인 특성은 모든 사용자 및 그룹에 대해 존재해야 합니다.

    Workspace ONE Access 디렉토리를 만들 때 이 특성을 Workspace ONE Access 도메인 특성에 매핑합니다.

  • 사용자 이름에 공백이 포함되어서는 안 됩니다. 사용자 이름에 공백이 포함된 경우 사용자는 동기화되지만 해당 사용자에게 사용 권한이 제공되지 않습니다.
  • 인증서 인증을 사용하는 경우 사용자에게 userPrincipalName 및 이메일 주소 특성 값이 있어야 합니다.

프로시저

  1. Workspace ONE Access 콘솔에서 통합 > 디렉토리를 선택합니다.
  2. 디렉토리 추가 드롭다운 메뉴에서 LDAP 디렉토리를 선택합니다.
    [디렉토리 추가] 드롭다운 옵션은 Active Directory, LDAP 디렉토리 및 로컬 사용자 디렉토리입니다.
  3. 디렉토리 정보 섹션에서 다음 필수 정보를 입력합니다.
    옵션 설명
    디렉토리 이름 Workspace ONE Access 디렉토리의 이름을 입력합니다.
    디렉토리 동기화 호스트 이 디렉토리를 동기화하는 데 사용할 하나 이상의 디렉토리 동기화 서비스 인스턴스를 선택합니다. 테넌트에 등록된 모든 디렉토리 동기화 서비스 인스턴스가 나열됩니다. 활성 상태인 인스턴스만 선택할 수 있습니다.

    여러 인스턴스를 선택하는 경우 Workspace ONE Access는 목록에서 첫 번째로 선택한 인스턴스를 사용하여 디렉토리를 동기화합니다. 첫 번째 인스턴스를 사용할 수 없는 경우에는 다음에 선택된 인스턴스를 사용하는 방식으로 계속됩니다. 디렉토리를 생성한 후 디렉토리의 동기화 설정 탭에서 목록을 다시 정렬할 수 있습니다.
    인증 사용자 인증 서비스를 사용하여 이 디렉토리의 사용자를 인증하려면 이 디렉토리에 대한 암호 인증 설정을 선택합니다. 사용자 인증 서비스가 이미 설치되어 있어야 합니다. 이 옵션을 선택하면 암호(클라우드 배포) 인증 방법과 Embedded 유형의 directoryName에 대한 IDP라는 ID 제공자가 디렉토리에 대해 자동으로 생성됩니다.

    지금 사용자 인증 서비스를 사용하여 인증을 설정하지 않거나 타사 ID 제공자를 사용하려면 나중에 인증 방법 추가를 선택합니다. 나중에 사용자 인증 서비스를 사용하기로 한 경우에는 디렉토리에 대해 암호(클라우드 배포) 인증 방법 및 ID 제공자를 수동으로 생성할 수 있습니다. 이렇게 하면 통합 > ID 제공자 페이지에서 추가 > 기본 제공 IDP를 선택하여 해당 디렉토리에 대한 새 ID 제공자를 생성합니다. 기본 제공이라는 미리 생성된 ID 제공자를 사용하는 것은 권장되지 않습니다.
    사용자 인증 호스트 이 디렉토리에 대한 암호 인증 설정 옵션을 선택하면 사용자 인증 호스트 옵션이 나타납니다. 이 디렉토리의 사용자를 인증하는 데 사용할 사용자 인증 서비스 인스턴스를 하나 이상 선택합니다. 테넌트에 등록되어 있고 활성 상태인 모든 사용자 인증 서비스 인스턴스가 나열됩니다.

    여러 인스턴스를 선택하면 Workspace ONE Access에서 선택한 인스턴스에 왕복으로 인증 요청을 전송합니다.
    사용자 이름 사용자 이름에 사용할 LDAP 디렉토리 특성을 선택합니다. 이 특성이 나열되지 않으면 사용자 지정을 선택하고 사용자 및 그룹에 사용할 사용자 지정 특성 이름을 입력합니다. 예를 들어 cn을 입력합니다.
    서버 호스트 LDAP 디렉토리 서버 호스트를 입력합니다. FQDN(정규화된 도메인 이름) 또는 IP 주소를 지정할 수 있습니다. 예를 들어 myLDAPserver.example.com 또는 100.00.00.0을 지정할 수 있습니다.

    로드 밸런서 뒤에 서버 클러스터가 있는 경우 대신 로드 밸런서 정보를 입력합니다.
    서버 포트 LDAP 디렉토리 포트 번호를 입력합니다.
  4. LDAP 구성 섹션에서 필수 정보를 입력합니다.
    옵션 설명
    쿼리 및 특성 Workspace ONE Access에서 LDAP 디렉토리를 쿼리하는 데 사용할 수 있는 LDAP 검색 필터 및 특성을 지정합니다. 기본값은 코어 LDAP 스키마에 따라 제공됩니다.

    쿼리 필터

    • 그룹: 그룹 개체를 가져오기 위한 검색 필터입니다.

      예: (objectClass=groupOfNames)

    • 바인딩 사용자: 바인딩 사용자 개체, 즉 디렉토리에 바인딩할 수 있는 사용자를 가져오기 위한 검색 필터입니다.

      예: (objectClass=person)

    • 사용자: 동기화할 사용자를 가져오기 위한 검색 필터입니다.

      예:(&(objectClass=user)(objectCategory=person))

    특성

    • 멤버 자격: LDAP 디렉토리에서 그룹 멤버를 정의하는 데 사용되는 특성입니다.

      예: member

    • 외부 ID: Workspace ONE Access 디렉토리에서 사용자 및 그룹의 고유 식별자로 사용할 특성입니다. 기본값은 entryUUID입니다.
      중요: 모든 사용자에게는 특성에 대해 고유하고 비어 있지 않은 값이 정의되어 있어야 합니다. 값은 Workspace ONE Access 테넌트 전체에서 고유해야 합니다. 해당 특성 값이 없는 경우 디렉토리가 동기화되지 않습니다.

      외부 ID를 설정하는 동안 다음 고려 사항에 유의하십시오.

      • Workspace ONE Access를 Workspace ONE UEM과 통합할 경우 두 제품에서 외부 ID를 동일한 특성으로 설정해야 합니다.
      • 디렉토리를 생성한 후에는 외부 ID를 변경할 수 있습니다. 그러나 모범 사례는 사용자를 Workspace ONE Access와 동기화하기 전에 외부 ID를 설정하는 것입니다. 외부 ID를 변경하면 사용자가 다시 생성됩니다. 결과적으로 모든 사용자가 로그아웃되므로 다시 로그인해야 합니다. 또한 웹 애플리케이션 및 Thinapp에 대한 사용자 사용 권한도 다시 구성해야 합니다. Horizon, Horizon Cloud 및 Citrix에 대한 사용 권한이 삭제된 후 다음 사용 권한 동기화 시 다시 생성됩니다.
      • 외부 ID 옵션은 Workspace ONE Access Connector 버전 20.10 이상에서 사용할 수 있습니다. Workspace ONE Access 서비스와 연결된 모든 커넥터는 버전 20.10 이상이어야 합니다. 다른 버전의 커넥터가 서비스와 연결된 경우 외부 ID 옵션이 표시되지 않습니다.
    • 고유 이름: (선택 사항) LDAP 디렉토리에서 사용자 또는 그룹의 고유 이름을 정의하는 데 사용되는 특성입니다.

      예: dn

      기본적으로 고유 이름 특성은 사용자 및 그룹 개체를 고유하게 식별하는 데 사용됩니다. LDAP 스키마에 고유 이름 특성이 없는 경우 고급 LDAP 구성 사용 옵션을 선택하고 그룹 및 사용자를 식별하는 데 사용할 값을 입력합니다.

    • 고급 구성: 고급 LDAP 구성 옵션을 보려면 고급 LDAPS 구성 사용 확인란을 선택합니다. LDAP 스키마에 고유 이름 특성이 없거나 posixGroups를 사용하는 경우 고급 구성을 사용합니다.
      • 그룹 필터: 그룹을 쿼리하고 식별하는 데 사용할 값입니다. 이 값은 LDAP 스키마에 고유 이름 특성이 없는 경우에 필요합니다.

        예: cn

      • 사용자 필터: 사용자를 쿼리하고 식별하는 데 사용할 값입니다. 이 값은 LDAP 스키마에 고유 이름 특성이 없는 경우에 필요합니다.

        예: uid

      • 사용자 멤버 자격 매핑 필터: (선택 사항) 이 옵션은 일반적으로 posixGroups를 사용하는 LDAP 디렉토리에 필요합니다. 사용자 멤버 자격 매핑 필터는 멤버 자격 특성으로 인해 반환되는 사용자를 쿼리하고 식별하는 데 사용됩니다.

        예: uidNumber

    암호화 LDAP 디렉토리에 SSL을 통한 액세스가 필요한 경우 모든 연결에 LDAPS 필요 확인란을 선택하고 LDAP 디렉토리 서버의 루트 CA SSL 인증서를 복사한 후 SSL 인증서 텍스트 상자에 붙여 넣습니다. 인증서가 PEM 형식인지 확인하고 "BEGIN CERTIFICATE" 및 "END CERTIFICATE" 줄을 포함합니다.
    바인딩 사용자 세부 정보 기본 DN: 검색을 시작할 DN을 입력합니다. 예: cn=users,dc=example,dc=com
    바인딩 사용자 DN: LDAP 디렉토리에 바인딩하는 데 사용할 사용자 이름을 입력합니다.
    참고: 만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.

    바인딩 사용자 암호: 바인딩 DN 사용자의 암호를 입력합니다.

  5. 도메인 선택 섹션에서 올바른 도메인이 나열되어 있는지 확인하고 저장을 클릭합니다.
  6. 사용자 특성 매핑 섹션에서 Workspace ONE Access 특성이 올바른 LDAP 디렉토리 특성에 매핑되어 있는지 확인하고 필요하면 변경합니다.

    이러한 특성은 사용자에 대해 동기화됩니다.

    중요: 도메인 특성에 대한 매핑을 지정해야 합니다.

    설정 > 사용자 특성 페이지에서 특성을 추가하고 필수 특성 목록을 관리할 수 있습니다.

    중요: 특성이 필수로 표시되면 동기화하려는 모든 사용자에 대해 해당 값을 설정해야 합니다. 필수 특성 값이 누락된 사용자 레코드는 동기화되지 않습니다.
  7. 그룹 동기화 섹션에서 동기화할 그룹을 추가합니다. Workspace ONE Access 디렉토리에 동기화할 사용자 및 그룹 선택의 내용을 참조하십시오.
  8. 사용자 동기화 섹션에서 동기화할 사용자를 추가합니다. Workspace ONE Access 디렉토리에 동기화할 사용자 및 그룹 선택의 내용을 참조하십시오.
  9. 동기화 빈도 섹션에서 정기적으로 사용자 및 그룹을 동기화하도록 동기화 스케줄을 설정하거나, 스케줄을 설정하지 않으려면 동기화 빈도 드롭다운 메뉴에서 수동을 선택합니다.
    시간은 UTC(협정 세계시)로 설정됩니다.
    팁: 동기화 간격을 디렉토리를 동기화하는 데 걸리는 시간보다 더 길게 스케줄링하십시오. 다음 동기화가 스케줄링될 때 사용자 및 그룹을 디렉토리에 동기화하도록 하면 이전 동기화가 끝나는 즉시 새 동기화가 시작됩니다. 이 일정을 사용하면 동기화 프로세스가 연속적으로 진행됩니다.
    수동을 선택하는 경우 디렉토리를 동기화할 때마다 디렉토리 페이지에서 동기화 > 세이프가드를 사용하여 동기화 또는 동기화 > 세이프가드를 사용하지 않고 동기화를 선택해야 합니다.
  10. 저장을 클릭하여 디렉토리를 생성하거나 저장 및 동기화를 클릭하여 디렉토리를 생성하고 동기화를 시작합니다.

결과

LDAP 디렉토리에 대한 연결이 설정됩니다. 저장 및 동기화를 클릭한 경우 LDAP 디렉토리에서 Workspace ONE Access 디렉토리로 사용자 및 그룹 이름이 동기화됩니다.

그룹이 동기화되는 방법에 대한 자세한 내용은 "VMware Workspace ONE Access 관리" 에서 "사용자 및 그룹 관리"를 참조하십시오.

다음에 수행할 작업

  • 인증 옵션을 이 디렉토리에 대한 암호 인증 설정으로 설정하면 directoryname에 대한 IDP라는 ID 제공자와 암호(클라우드 배포) 인증 방법이 해당 디렉토리에 대해 자동으로 생성됩니다. 이러한 항목은 통합 > ID 제공자통합 > 커넥터 인증 방법 페이지에서 볼 수 있습니다. 커넥터 인증 방법인증 방법 페이지에서 해당 디렉토리에 대한 추가 인증 방법을 생성할 수도 있습니다. 인증 방법 생성에 대한 자세한 내용은 Workspace ONE Access에서 사용자 인증 방법 관리를 참조하십시오.
  • 리소스 > 정책 페이지에서 기본 액세스 정책을 검토합니다.
  • 기본 동기화 세이프가드 설정을 검토하고 필요한 경우 변경합니다. 자세한 정보는 Workspace ONE Access에서 디렉토리 동기화 세이프가드 설정의 내용을 참조하십시오.