VMware Identity Services와 일반 ID 제공자 통합

Workspace ONE 테넌트에 대해 VMware Identity Services를 사용하도록 설정한 후 SCIM 2.0 기반 ID 제공자와의 통합을 설정합니다.

VMware Identity Services 시작 마법사의 2단계 SCIM 2.0 기반 ID 제공자 통합에서 시작을 클릭합니다.
SCIM 2.0 ID 제공자 카드에서 설정을 클릭합니다.
마법사에 따라 ID 제공자와의 통합을 설정합니다.

1단계: 디렉토리 생성

VMware Identity Services에서 사용자 프로비저닝 및 ID 페더레이션을 설정하는 첫 번째 단계로, ID 제공자로부터 프로비저닝된 사용자 및 그룹에 대한 디렉토리를 Workspace ONE 콘솔에 생성합니다.

경고: 디렉토리를 생성한 후에는 ID 제공자 선택을 변경할 수 없습니다. 계속하기 전에 적절한 ID 제공자를 선택해야 합니다.

프로시저

마법사의 1단계 일반 정보에서 Workspace ONE의 프로비저닝된 디렉토리에 사용할 이름을 입력합니다.
이름은 최대 128자까지 입력할 수 있습니다. 문자(a-z 또는 그에 상당하는 다른 언어의 문자), 숫자(0-9), 공백, 하이픈(-) 및 밑줄(_)만 허용됩니다.
중요: 디렉토리가 생성된 후에는 이름을 변경할 수 없습니다.
도메인 이름으로 .com 또는 .net과 같은 확장을 포함한 소스 디렉토리의 기본 도메인 이름을 입력합니다.
VMware Identity Services는 현재 하나의 도메인만 지원합니다. 프로비저닝된 사용자 및 그룹은 Workspace ONE 서비스에서 이 도메인과 연결됩니다.
도메인 이름은 최대 100자까지 입력할 수 있습니다. 문자(a-z 또는 그에 상당하는 다른 언어의 문자), 숫자(0-9), 공백, 하이픈(-), 밑줄(_) 및 마침표(.)만 허용됩니다.

예:
저장을 클릭하고 선택 항목을 확인합니다.

다음에 수행할 작업

사용자 및 그룹 프로비저닝을 설정합니다.

2단계: 사용자 및 그룹 프로비저닝 설정

VMware Identity Services에 디렉토리를 생성한 후 사용자 및 그룹 프로비저닝을 설정합니다. 프로비저닝에 필요한 관리 자격 증명을 생성하여 VMware Identity Services의 프로세스를 시작한 다음 해당 자격 증명을 사용하여 ID 제공자의 프로비저닝을 구성합니다.

참고: 이 항목은 Azure AD 외의 SCIM 2.0 ID 제공자와의 통합에 적용됩니다. Azure AD와의 통합에 대한 자세한 내용은 2단계: 사용자 및 그룹 프로비저닝 설정 항목을 참조하십시오.

참고: 이 항목에서는 타사 ID 제공자 구성에 대한 간략한 정보를 제공합니다. 작업에 대한 정확한 단계 및 위치는 ID 제공자에 따라 다릅니다. 구체적인 내용은 ID 제공자 설명서를 참조하십시오.

사전 요구 사항

ID 제공자에서 사용자 프로비저닝을 설정하는 데 필요한 권한이 있는 관리자 계정이 있습니다.

프로시저

Workspace ONE 콘솔에서 VMware Identity Services 마법사의 2단계 ID 제공자 구성에서 ID 제공자의 사용자 프로비저닝을 설정하는 데 필요한 자격 증명 유형을 선택합니다.
다음 유형 중에서 선택합니다.
- 클라이언트 ID 및 암호
- 테넌트 URL 및 토큰
토큰 만료 시 수동으로 업데이트해야 하므로 클라이언트 ID 및 암호가 기본 설정됩니다. 보안 모범 사례로 6개월 간격으로 클라이언트 ID 및 클라이언트 암호를 순환합니다.
다음을 클릭하면 VMware Identity Services에서 자격 증명이 생성됩니다.
클라이언트 ID 및 암호를 선택한 경우 클라이언트 ID 및 클라이언트 암호 값을 복사합니다.

중요: 다음을 클릭하기 전에 암호를 복사해야 합니다. 다음을 클릭하면 암호가 더 이상 표시되지 않으며 새 암호를 생성해야 합니다. 암호를 재생성할 때마다 이전 암호가 유효하지 않게 되고 프로비저닝이 실패합니다. 새 암호를 복사하여 ID 제공자 애플리케이션에 붙여 넣어야 합니다.

예:
테넌트 URL 및 토큰을 선택한 경우 생성된 값을 검토하고 복사합니다.
- 테넌트 URL: VMware Identity Services 테넌트의 SCIM 2.0 끝점입니다. 값을 복사합니다.
- 토큰 수명: 암호 토큰이 유효한 기간입니다.
  기본적으로 VMware Identity Services에서는 기본 수명이 6개월인 토큰이 생성됩니다. 토큰 수명을 변경하려면 아래쪽 화살표를 클릭하고 다른 옵션을 선택한 다음 재생성을 클릭하여 토큰을 새 값으로 재생성합니다.
  
  중요: 토큰 수명을 업데이트할 때마다 이전 토큰이 유효하지 않게 되고 ID 제공자로부터 사용자 및 그룹 프로비저닝이 실패합니다. 새 토큰을 재생성하고 복사하여 ID 제공자에 붙여 넣어야 합니다.
- 암호 토큰: 사용자를 Workspace ONE으로 프로비저닝하기 위해 ID 제공자에 필요한 토큰입니다. 값을 복사합니다.
  중요: 다음을 클릭하기 전에 토큰을 복사해야 합니다. 다음을 클릭하면 토큰이 더 이상 표시되지 않으며 새 토큰을 생성해야 합니다. 토큰을 재생성할 때마다 이전 토큰이 유효하지 않게 되고 프로비저닝이 실패합니다. 새 토큰을 복사하여 ID 제공자에 붙여 넣어야 합니다.
예:
ID 제공자에서 Workspace ONE으로 사용자 및 그룹 프로비저닝을 설정합니다.
1. ID 제공자 콘솔에 관리자로 로그인합니다.
2. SCIM 2.0 프로비저닝을 설정합니다.
  메시지가 표시되면 Workspace ONE 콘솔에서 생성한 자격 증명을 입력합니다.
3. 프로비저닝을 활성화합니다.

다음에 수행할 작업

Workspace ONE 콘솔로 돌아가 VMware Identity Services 마법사를 계속합니다.

3단계: SCIM 사용자 특성 매핑

사용자 특성을 매핑하여 ID 제공자로부터 Workspace ONE 서비스로 동기화합니다. ID 제공자 콘솔에서 필수 SCIM 사용자 특성을 추가하고 이를 ID 제공자 특성에 매핑합니다. 최소한도로 VMware Identity Services 및 Workspace ONE 서비스에 필요한 특성을 동기화합니다.

VMware Identity Services 및 Workspace ONE 서비스에는 다음과 같은 SCIM 사용자 특성이 필요합니다.

userName
emails
name.givenName
name.familyName
externalId
active

이러한 특성과 특성의 Workspace ONE 특성으로 매핑에 대한 자세한 내용은 VMware Identity Services의 사용자 특성 매핑 항목을 참조하십시오.

필수 특성 외에도 선택적 특성 및 사용자 지정 특성을 동기화할 수 있습니다. 지원되는 선택적 및 사용자 지정 특성 목록은 VMware Identity Services의 사용자 특성 매핑을 참조하십시오.

참고: Okta에서 VMware Identity Services에 동기화할 그룹 특성 매핑을 지정할 수 없습니다. 사용자 특성만 매핑할 수 있습니다.

프로시저

Workspace ONE 콘솔에서 VMware Identity Services 마법사의 3단계 SCIM 사용자 특성 매핑에서 VMware Identity Services에서 지원하는 특성 목록을 검토합니다.
ID 제공자 관리 콘솔에서 Workspace ONE에 대한 프로비저닝 구성으로 이동합니다.
특성 매핑 페이지로 이동합니다.
필수 SCIM 사용자 특성을 ID 제공자 특성에 매핑합니다.
필요에 따라 선택적 및 사용자 지정 SCIM 사용자 특성을 추가하고 매핑합니다.

다음에 수행할 작업

Workspace ONE 콘솔로 돌아가 VMware Identity Services 마법사를 계속합니다.

4단계: 인증 프로토콜 선택

페더레이션된 인증에 사용할 프로토콜을 선택합니다. VMware Identity Services는 OpenID Connect 및 SAML 프로토콜을 지원합니다.

프로시저

마법사의 4단계 인증 프로토콜 선택에서 OpenID Connect 또는 SAML을 선택합니다.
다음을 클릭합니다.
마법사의 다음 단계는 선택한 프로토콜을 구성하는 데 필요한 값과 함께 나타납니다.

다음에 수행할 작업

페더레이션된 인증을 위해 VMware Identity Services 및 ID 제공자를 구성합니다.

5단계: 인증 구성(일반 SCIM ID 제공자)

ID 제공자를 사용하여 페더레이션된 인증을 구성하려면 VMware Identity Services의 서비스 제공자 메타데이터를 사용하여 ID 제공자에서 OpenID Connect 또는 SAML 애플리케이션을 설정하고 애플리케이션의 값으로 VMware Identity Services를 구성합니다.

중요: VMware Identity Services와 Okta를 통합하는 경우 사용자 프로비저닝 및 ID 제공자 구성을 위해 Okta 관리 콘솔에서 별도의 애플리케이션을 생성해야 합니다. 프로비저닝 및 인증에 동일한 애플리케이션을 사용할 수 없습니다.

참고: 이 항목에서는 타사 ID 제공자 구성에 대한 간략한 정보를 제공합니다. 작업에 대한 정확한 단계는 ID 제공자에 따라 다릅니다. 구체적인 내용은 ID 제공자 설명서를 참조하십시오.

OpenID Connect

OpenID Connect를 인증 프로토콜로 선택한 경우 다음 단계를 수행합니다.

VMware Identity Services 마법사의 5단계 OpenID Connect 구성에서 리디렉션 URI 값을 복사합니다.
다음 단계인 ID 제공자에서 OpenID Connect 애플리케이션을 생성할 때 이 값이 필요합니다.
ID 제공자 관리 콘솔에서 OpenID Connect 애플리케이션을 생성합니다.
애플리케이션의 리디렉션 URI 섹션을 찾아 VMware Identity Services 마법사에서 복사한 리디렉션 URI 값을 복사하여 붙여 넣습니다.
애플리케이션에 대한 클라이언트 암호를 생성하고 복사합니다.
VMware Identity Services 마법사의 다음 단계에서 암호를 입력합니다.

Workspace ONE 콘솔에서 VMware Identity Services 마법사로 돌아가서 OpenID Connect 구성 섹션의 구성을 완료합니다.

Client ID	ID 제공자 애플리케이션에서 클라이언트 ID 값을 복사하여 붙여 넣습니다.
Client Secret	ID 제공자 애플리케이션에서 클라이언트 암호를 복사하여 붙여 넣습니다.
구성 URL	ID 제공자 애플리케이션의 OpenID Connect 잘 알려진 구성 URL을 복사하여 붙여 넣습니다. 예: https://example.com/.well-known/openid-configuration
OIDC 사용자 식별자 특성	사용자 조회를 위해 Workspace ONE 특성에 매핑할 OpenID Connect 특성을 지정합니다.
Workspace ONE 사용자 식별자 특성	사용자 조회를 위해 OpenID Connect 특성에 매핑할 Workspace ONE 특성을 지정합니다.

VMware Identity Services 마법사에서 완료를 클릭하여 VMware Identity Services와 ID 제공자 간의 통합 설정을 완료합니다.

SAML

SAML을 인증 프로토콜로 선택한 경우 다음 단계를 수행합니다.

Workspace ONE 콘솔에서 서비스 제공자 메타데이터를 가져옵니다.
VMware Identity Services 마법사의 5단계 SAML Single Sign-On 구성에서 SAML 서비스 제공자 메타데이터를 복사하거나 보고 다운로드합니다.
ID 제공자 관리 콘솔에서 Single Sign-On 구성 페이지로 이동합니다.
중요: VMware Identity Services와 Okta를 통합하는 경우 Okta에서 인증용으로 별도의 SAML 애플리케이션을 생성해야 합니다. 프로비저닝 및 인증에 동일한 애플리케이션을 사용할 수 없습니다.
VMware Identity Services 마법사의 값을 사용하여 Single Sign-On을 구성합니다.
일반적인 구성 단계에는 ID 제공자가 지원하는 내용에 따라 다음 중 하나가 포함됩니다.
- 서비스 제공자 메타데이터 옵션을 찾아 VMware Identity Services 마법사에서 SAML 서비스 제공자 메타데이터를 업로드하거나 복사하여 붙여 넣습니다.
- ID 제공자에 메타데이터를 업로드할 수 있는 옵션이 없는 경우 VMware Identity Services SAML 서비스 제공자 메타데이터의 다음 값을 복사하여 ID 제공자 콘솔의 해당 필드에 붙여 넣습니다.
  entityID 값: 예를 들면, https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml.
  AssertionConsumerService HTTP-POST Location 값: 예를 들면, https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response.
ID 제공자 콘솔에서 ID 제공자 SAML 메타데이터를 찾아 복사합니다.
Workspace ONE 콘솔에서 VMware Identity Services 마법사의 5단계 SAML Single Sign-On 구성에서 ID 제공자 메타데이터를 ID 제공자 메타데이터 텍스트 상자에 붙여 넣습니다.
SAML Single Sign-On 구성 섹션의 나머지 옵션을 구성합니다.
- Single Sign-out: 사용자가 Workspace ONE Intelligent Hub에서 로그아웃한 후 사용자를 ID 제공자 세션에서 로그아웃하려면 이 옵션을 선택합니다.
- 바인딩 프로토콜: SAML 바인딩 프로토콜, HTTP POST 또는 HTTP 리디렉션을 선택합니다.
- 이름 ID 형식: ID 제공자와 Workspace ONE 서비스 간에 사용자를 매핑하는 데 사용할 이름 ID 형식을 지정합니다.
- 이름 ID 값: Workspace ONE 사용자에 대한 사용자 특성을 선택합니다.
- SAML 요청에서 제목 보내기(사용 가능한 경우): ID 제공자가 VMware Identity Services에 로그인 힌트로 제목을 전송하게 하려면 이 옵션을 선택합니다(사용 가능한 경우). 이 옵션을 선택하는 경우 제목에 이름 ID 형식 매핑 사용을 선택할 수도 있습니다.
- 제목에 이름 ID 형식 매핑 사용: 이름 ID 형식을 사용하여 ID 제공자가 제공한 로그인 힌트를 이름 ID 값에 매핑하려면 이 옵션을 선택합니다.
  경고: 이 옵션을 사용하도록 설정하면 사용자 열거라고 하는 보안 취약점의 위험이 증가할 수 있습니다.
마법사에서 완료를 클릭하여 VMware Identity Services와 ID 제공자 간의 통합 설정을 완료합니다.

결과

VMware Identity Services와 ID 제공자 간의 통합이 완료되었습니다.

디렉토리는 VMware Identity Services에 생성되며 ID 제공자의 프로비저닝 애플리케이션에서 사용자 및 그룹을 푸시하면 채워집니다. 프로비저닝된 사용자 및 그룹은 ID 제공자와 통합하도록 선택한 Workspace ONE 서비스(예: Workspace ONE Access 및 Workspace ONE UEM)에 자동으로 표시됩니다.

Workspace ONE Access 및 Workspace ONE UEM 콘솔에서는 디렉토리를 편집할 수 없습니다. 디렉토리, 사용자, 사용자 그룹, 사용자 특성 및 ID 제공자 페이지는 읽기 전용입니다.

다음에 수행할 작업

다음에는 사용자 및 그룹을 프로비저닝할 Workspace ONE 서비스를 선택합니다.

그런 다음 ID 제공자에서 사용자 및 그룹을 푸시합니다. Workspace ONE에 사용자 프로비저닝의 내용을 참조하십시오.