Workspace ONE 테넌트에 대해 VMware Identity Services를 사용하도록 설정한 후 SCIM 2.0 기반 ID 제공자와의 통합을 설정합니다.

  1. VMware Identity Services 시작 마법사의 2단계 SCIM 2.0 기반 ID 제공자 통합에서 시작을 클릭합니다.""
  2. SCIM 2.0 ID 제공자 카드에서 설정을 클릭합니다.
    ""
  3. 마법사에 따라 ID 제공자와의 통합을 설정합니다.

1단계: 디렉토리 생성

VMware Identity Services에서 사용자 프로비저닝 및 ID 페더레이션을 설정하는 첫 번째 단계로, ID 제공자로부터 프로비저닝된 사용자 및 그룹에 대한 디렉토리를 Workspace ONE Cloud 콘솔에 생성합니다.

경고: 디렉토리를 생성한 후에는 ID 제공자 선택을 변경할 수 없습니다. 계속하기 전에 적절한 ID 제공자를 선택해야 합니다.

프로시저

  1. 마법사의 1단계 일반 정보에서 Workspace ONE의 프로비저닝된 디렉토리에 사용할 이름을 입력합니다.
    이름은 최대 128자까지 입력할 수 있습니다. 문자(a-z 또는 그에 상당하는 다른 언어의 문자), 숫자(0-9), 공백, 하이픈(-) 및 밑줄(_)만 허용됩니다.
    중요: 디렉토리가 생성된 후에는 이름을 변경할 수 없습니다.
  2. 도메인 이름으로 .com 또는 .net과 같은 확장을 포함한 소스 디렉토리의 기본 도메인 이름을 입력합니다.
    VMware Identity Services는 현재 하나의 도메인만 지원합니다. 프로비저닝된 사용자 및 그룹은 Workspace ONE 서비스에서 이 도메인과 연결됩니다.

    도메인 이름은 최대 100자까지 입력할 수 있습니다. 문자(a-z 또는 그에 상당하는 다른 언어의 문자), 숫자(0-9), 공백, 하이픈(-), 밑줄(_) 및 마침표(.)만 허용됩니다.

    예:

    이 예에서 디렉토리 이름은 Demo이고 도메인 이름은 example.com입니다.
  3. 저장을 클릭하고 선택 항목을 확인합니다.

다음에 수행할 작업

사용자 및 그룹 프로비저닝을 설정합니다.

2단계: 사용자 및 그룹 프로비저닝 설정

VMware Identity Services에 디렉토리를 생성한 후 사용자 및 그룹 프로비저닝을 설정합니다. 프로비저닝에 필요한 관리 자격 증명을 생성하여 VMware Identity Services의 프로세스를 시작한 다음 해당 자격 증명을 사용하여 ID 제공자의 프로비저닝을 구성합니다.

참고: 이 정보는 Microsoft Entra ID 및 Okta 이외의 모든 SCIM 2.0 기반 ID 제공자에 적용됩니다. VMware Identity ServicesMicrosoft Entra ID와 통합하려면 VMware Identity Services와 Microsoft Entra ID 통합을 참조하십시오. VMware Identity Services를 Okta와 통합하려면 VMware Identity Services와 Okta 통합을 참조하십시오.
참고: 이 항목에서는 타사 ID 제공자 구성에 대한 간략한 정보를 제공합니다. 작업에 대한 정확한 단계 및 위치는 ID 제공자에 따라 다릅니다. 구체적인 내용은 ID 제공자 설명서를 참조하십시오.

사전 요구 사항

ID 제공자에서 사용자 프로비저닝을 설정하는 데 필요한 권한이 있는 관리자 계정이 있습니다.

프로시저

  1. Workspace ONE Cloud 콘솔에서 VMware Identity Services 마법사의 2단계 ID 제공자 구성에서 ID 제공자의 사용자 프로비저닝을 설정하는 데 필요한 자격 증명 유형을 선택합니다.
    다음 유형 중에서 선택합니다.
    • 클라이언트 ID 및 암호
    • 테넌트 URL 및 토큰

    토큰 만료 시 수동으로 업데이트해야 하므로 클라이언트 ID 및 암호가 기본 설정됩니다. 보안 모범 사례로 6개월 간격으로 클라이언트 ID 및 클라이언트 암호를 순환합니다.

    다음을 클릭하면 VMware Identity Services에서 자격 증명이 생성됩니다.
  2. 클라이언트 ID 및 암호를 선택한 경우 클라이언트 ID클라이언트 암호 값을 복사합니다.
    중요: 다음을 클릭하기 전에 암호를 복사해야 합니다. 다음을 클릭하면 암호가 더 이상 표시되지 않으며 새 암호를 생성해야 합니다. 암호를 재생성할 때마다 이전 암호가 유효하지 않게 되고 프로비저닝이 실패합니다. 새 암호를 복사하여 ID 제공자 애플리케이션에 붙여 넣어야 합니다.

    예:

    클라이언트 ID 및 클라이언트 암호 값이 옆에 복사 아이콘과 함께 표시됩니다.
  3. 테넌트 URL 및 토큰을 선택한 경우 생성된 값을 검토하고 복사합니다.
    • 테넌트 URL: VMware Identity Services 테넌트의 SCIM 2.0 끝점입니다. 값을 복사합니다.
    • 토큰 수명: 암호 토큰이 유효한 기간입니다.

      기본적으로 VMware Identity Services에서는 기본 수명이 6개월인 토큰이 생성됩니다. 토큰 수명을 변경하려면 아래쪽 화살표를 클릭하고 다른 옵션을 선택한 다음 재생성을 클릭하여 토큰을 새 값으로 재생성합니다.

      중요: 토큰 수명을 업데이트할 때마다 이전 토큰이 유효하지 않게 되고 ID 제공자로부터 사용자 및 그룹 프로비저닝이 실패합니다. 새 토큰을 재생성하고 복사하여 ID 제공자에 붙여 넣어야 합니다.
    • 암호 토큰: 사용자를 Workspace ONE으로 프로비저닝하기 위해 ID 제공자에 필요한 토큰입니다. 값을 복사합니다.
      중요: 다음을 클릭하기 전에 토큰을 복사해야 합니다. 다음을 클릭하면 토큰이 더 이상 표시되지 않으며 새 토큰을 생성해야 합니다. 토큰을 재생성할 때마다 이전 토큰이 유효하지 않게 되고 프로비저닝이 실패합니다. 새 토큰을 복사하여 ID 제공자에 붙여 넣어야 합니다.

    예:

    테넌트 URL 및 암호 토큰 값이 표시됩니다. 토큰 수명은 6개월입니다.
    토큰이 곧 만료되면 Workspace ONE Cloud 콘솔에 배너 알림이 표시됩니다. 이메일 알림도 수신하려면 Workspace ONE Access 및 ID 서비스의 암호 토큰 만료 설정에 대해 이메일 확인란이 선택되어 있는지 확인합니다. Workspace ONE Cloud 콘솔의 [알림 설정] 페이지에서 설정을 찾을 수 있습니다.
  4. ID 제공자에서 Workspace ONE으로 사용자 및 그룹 프로비저닝을 설정합니다.
    1. ID 제공자 콘솔에 관리자로 로그인합니다.
    2. SCIM 2.0 프로비저닝을 설정합니다.
      메시지가 표시되면 Workspace ONE Cloud 콘솔에서 생성한 자격 증명을 입력합니다.
    3. 프로비저닝을 활성화합니다.

다음에 수행할 작업

Workspace ONE Cloud 콘솔로 돌아가 VMware Identity Services 마법사를 계속합니다.

3단계: SCIM 사용자 특성 매핑

사용자 특성을 매핑하여 ID 제공자로부터 Workspace ONE 서비스로 동기화합니다. ID 제공자 콘솔에서 필수 SCIM 사용자 특성을 추가하고 이를 ID 제공자 특성에 매핑합니다. 최소한도로 VMware Identity Services 및 Workspace ONE 서비스에 필요한 특성을 동기화합니다.

VMware Identity Services 및 Workspace ONE 서비스에는 다음과 같은 SCIM 사용자 특성이 필요합니다.

  • userName
  • emails
  • name.givenName
  • name.familyName
  • externalId
  • active

이러한 특성과 특성의 Workspace ONE 특성으로 매핑에 대한 자세한 내용은 VMware Identity Services의 사용자 특성 매핑 항목을 참조하십시오.

필수 특성 외에도 선택적 특성 및 사용자 지정 특성을 동기화할 수 있습니다. 지원되는 선택적 및 사용자 지정 특성 목록은 VMware Identity Services의 사용자 특성 매핑을 참조하십시오.

프로시저

  1. Workspace ONE Cloud 콘솔에서 VMware Identity Services 마법사의 3단계 SCIM 사용자 특성 매핑에서 VMware Identity Services에서 지원하는 특성 목록을 검토합니다.
  2. ID 제공자 관리 콘솔에서 Workspace ONE에 대한 프로비저닝 구성으로 이동합니다.
  3. 특성 매핑 페이지로 이동합니다.
  4. 필수 SCIM 사용자 특성을 ID 제공자 특성에 매핑합니다.
  5. 필요에 따라 선택적 및 사용자 지정 SCIM 사용자 특성을 추가하고 매핑합니다.

다음에 수행할 작업

Workspace ONE Cloud 콘솔로 돌아가 VMware Identity Services 마법사를 계속합니다.

4단계: 인증 프로토콜 선택

페더레이션된 인증에 사용할 프로토콜을 선택합니다. VMware Identity Services는 OpenID Connect 및 SAML 프로토콜을 지원합니다.

경고: 신중하게 선택하십시오. 프로토콜을 선택하고 인증을 구성한 후에는 디렉토리를 삭제하지 않고 프로토콜 유형을 변경할 수 없습니다.

프로시저

  1. 마법사의 4단계 인증 프로토콜 선택에서 OpenID Connect 또는 SAML을 선택합니다.
  2. 다음을 클릭합니다.
    마법사의 다음 단계는 선택한 프로토콜을 구성하는 데 필요한 값과 함께 나타납니다.

다음에 수행할 작업

페더레이션된 인증을 위해 VMware Identity Services 및 ID 제공자를 구성합니다.

5단계: 인증 구성(일반 SCIM ID 제공자)

ID 제공자를 사용하여 페더레이션된 인증을 구성하려면 VMware Identity Services의 서비스 제공자 메타데이터를 사용하여 ID 제공자에서 OpenID Connect 또는 SAML 애플리케이션을 설정하고 애플리케이션의 값으로 VMware Identity Services를 구성합니다.

참고: 이 항목에서는 타사 ID 제공자 구성에 대한 간략한 정보를 제공합니다. 작업에 대한 정확한 단계는 ID 제공자에 따라 다릅니다. 구체적인 내용은 ID 제공자 설명서를 참조하십시오.

OpenID Connect

OpenID Connect를 인증 프로토콜로 선택한 경우 다음 단계를 수행합니다.

  1. VMware Identity Services 마법사의 5단계 OpenID Connect 구성에서 리디렉션 URI 값을 복사합니다.

    다음 단계인 ID 제공자에서 OpenID Connect 애플리케이션을 생성할 때 이 값이 필요합니다.

    ""

  2. ID 제공자 관리 콘솔에서 OpenID Connect 애플리케이션을 생성합니다.
  3. 애플리케이션의 리디렉션 URI 섹션을 찾아 VMware Identity Services 마법사에서 복사한 리디렉션 URI 값을 복사하여 붙여 넣습니다.
  4. 애플리케이션에 대한 클라이언트 암호를 생성하고 복사합니다.

    VMware Identity Services 마법사의 다음 단계에서 암호를 입력합니다.

  5. Workspace ONE Cloud 콘솔에서 VMware Identity Services 마법사로 돌아가서 OpenID Connect 구성 섹션의 구성을 완료합니다.
    Client ID ID 제공자 애플리케이션에서 클라이언트 ID 값을 복사하여 붙여 넣습니다.
    Client Secret ID 제공자 애플리케이션에서 클라이언트 암호를 복사하여 붙여 넣습니다.
    구성 URL ID 제공자 애플리케이션의 OpenID Connect 잘 알려진 구성 URL을 복사하여 붙여 넣습니다. 예: https://example.com/.well-known/openid-configuration
    OIDC 사용자 식별자 특성 사용자 조회를 위해 Workspace ONE 특성에 매핑할 OpenID Connect 특성을 지정합니다.
    Workspace ONE 사용자 식별자 특성 사용자 조회를 위해 OpenID Connect 특성에 매핑할 Workspace ONE 특성을 지정합니다.
  6. VMware Identity Services 마법사에서 완료를 클릭하여 VMware Identity Services와 ID 제공자 간의 통합 설정을 완료합니다.

SAML

SAML을 인증 프로토콜로 선택한 경우 다음 단계를 수행합니다.

  1. Workspace ONE Cloud 콘솔에서 서비스 제공자 메타데이터를 가져옵니다.

    VMware Identity Services 마법사의 5단계 SAML Single Sign-On 구성에서 SAML 서비스 제공자 메타데이터를 복사하거나 다운로드합니다.


    ""
  2. ID 제공자 관리 콘솔에서 Single Sign-On 구성 페이지로 이동합니다.
  3. VMware Identity Services 마법사의 값을 사용하여 Single Sign-On을 구성합니다.

    일반적인 구성 단계에는 ID 제공자가 지원하는 내용에 따라 다음 중 하나가 포함됩니다.

    • 서비스 제공자 메타데이터 옵션을 찾아 VMware Identity Services 마법사에서 SAML 서비스 제공자 메타데이터를 업로드하거나 복사하여 붙여넣습니다.
    • ID 제공자에 메타데이터 파일을 업로드할 수 있는 옵션이 없거나 설정을 개별적으로 구성하려는 경우 VMware Identity Services 마법사의 5단계에서 다음 값을 복사하여 ID 제공자 콘솔의 해당 필드에 붙여넣습니다.

      엔티티 ID 값: 예를 들어, https://yourVMwareIdentityServicesFQDN/SAAS/API/1.0/GET/metadata/sp.xml.

      Single Sign-On URL 값: 예를 들어, https://yourVMwareIdentityServicesFQDN/SAAS/auth/saml/response.

      서명 인증서

      암호화 인증서(고급 옵션 아래): ID 제공자에서 SAML 암호화를 사용하도록 설정하려는 경우 필요합니다.

  4. ID 제공자 콘솔에서 ID 제공자 SAML 메타데이터를 찾아 복사합니다.
  5. Workspace ONE Cloud 콘솔에서 VMware Identity Services 마법사의 5단계 SAML Single Sign-On 구성에서 ID 제공자 메타데이터를 ID 제공자 메타데이터 텍스트 상자에 붙여 넣습니다.
    ""
  6. 필요에 따라 SAML Single Sign-On 구성 섹션의 나머지 옵션을 구성합니다.
    • 바인딩 프로토콜: SAML 바인딩 프로토콜, HTTP POST 또는 HTTP 리디렉션을 선택합니다.
    • 이름 ID 형식: 이름 ID 형식이름 ID 값 설정을 사용하여 ID 제공자와 VMware Identity Services 간에 사용자를 매핑합니다. 이름 ID 형식의 경우, SAML 응답에 사용되는 이름 ID 형식을 지정합니다.
    • 이름 ID 값: SAML 응답에서 수신된 이름 ID 값을 매핑할 VMware Identity Services 사용자 특성을 선택합니다.
    • SAML 컨텍스트: SAML 인증 컨텍스트를 선택합니다. 드롭다운 메뉴에 표시된 값 중 하나를 선택하거나 사용자 지정 값을 입력할 수 있습니다. 기본값은 urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified입니다.

      인증 컨텍스트는 사용자가 ID 제공자에서 인증되는 방식을 나타냅니다. ID 제공자는 서비스 제공자의 요청에 따라 또는 ID 제공자의 구성에 기반하여 어설션에 인증 컨텍스트를 포함합니다.

    • SAML 요청에서 제목 보내기(사용 가능한 경우): 가능한 경우, 사용자 로그인 환경을 개선하기 위해 ID 제공자에게 제목을 로그인 힌트로 보내려면 이 옵션을 선택합니다.
    • 제목에 이름 ID 형식 매핑 사용: SAML 요청에서 제목에 이름 ID 형식이름 ID 값 매핑을 적용하려면 이 옵션을 선택합니다. 이 옵션은 SAML 요청에서 제목 보내기(사용 가능한 경우) 옵션과 함께 사용됩니다.
      경고: 이 옵션을 사용하도록 설정하면 사용자 열거라고 하는 보안 취약점의 위험이 증가할 수 있습니다.
    • SAML 단일 로그아웃 사용: 사용자가 Workspace ONE 서비스에서 로그아웃한 후 ID 제공자 세션에서 사용자를 로그아웃하려면 이 옵션을 선택합니다.
    • ID 제공자 단일 로그아웃 URL: ID 제공자가 SAML 단일 로그아웃을 지원하지 않는 경우 이 옵션을 사용하여 사용자가 Workspace ONE 서비스에서 로그아웃한 후 사용자를 리디렉션할 URL을 지정할 수 있습니다. 이 옵션을 사용하는 경우 SAML 단일 로그아웃 사용 확인란도 선택합니다.

      이 옵션을 비워 두면 사용자가 SAML 단일 로그아웃을 사용하여 ID 제공자로 리디렉션됩니다.

  7. 마법사에서 완료를 클릭하여 VMware Identity Services와 ID 제공자 간의 통합 설정을 완료합니다.

결과

VMware Identity Services와 ID 제공자 간의 통합이 완료되었습니다.

디렉토리는 VMware Identity Services에 생성되며 ID 제공자의 프로비저닝 애플리케이션에서 사용자 및 그룹을 푸시하면 채워집니다. 프로비저닝된 사용자 및 그룹은 ID 제공자와 통합하도록 선택한 Workspace ONE 서비스(예: Workspace ONE AccessWorkspace ONE UEM)에 자동으로 표시됩니다.

Workspace ONE AccessWorkspace ONE UEM 콘솔에서는 디렉토리를 편집할 수 없습니다. 디렉토리, 사용자, 사용자 그룹, 사용자 특성 및 ID 제공자 페이지는 읽기 전용입니다.

다음에 수행할 작업

다음에는 사용자 및 그룹을 프로비저닝할 Workspace ONE 서비스를 선택합니다.

그런 다음 ID 제공자에서 사용자 및 그룹을 푸시합니다. Workspace ONE에 사용자 프로비저닝의 내용을 참조하십시오.