Workspace ONE 테넌트에 대해 VMware Identity Services를 사용하도록 설정한 후 Okta와의 통합을 설정합니다.

  1. VMware Identity Services 시작 마법사의 2단계 SCIM 2.0 기반 ID 제공자 통합에서 시작을 클릭합니다.""
  2. Okta 카드에서 설정을 클릭합니다.

    ""

  3. 마법사를 따라 Okta와의 통합을 설정합니다.

1단계: 디렉토리 생성

VMware Identity Services에서 사용자 프로비저닝 및 ID 페더레이션을 설정하는 첫 번째 단계로, Okta로부터 프로비저닝된 사용자 및 그룹에 대한 디렉토리를 Workspace ONE Cloud 콘솔에 생성합니다.

경고: 디렉토리를 생성한 후에는 ID 제공자 선택을 변경할 수 없습니다. 계속하기 전에 적절한 ID 제공자를 선택해야 합니다.

프로시저

  1. 마법사의 1단계 일반 정보에서 Workspace ONE의 프로비저닝된 디렉토리에 사용할 이름을 입력합니다.
    이름은 최대 128자까지 입력할 수 있습니다. 문자(a-z 또는 그에 상당하는 다른 언어의 문자), 숫자(0-9), 공백, 하이픈(-) 및 밑줄(_)만 허용됩니다.
    중요: 디렉토리가 생성된 후에는 이름을 변경할 수 없습니다.
  2. 도메인 이름으로 .com 또는 .net과 같은 확장을 포함한 소스 디렉토리의 기본 도메인 이름을 입력합니다.
    VMware Identity Services는 현재 하나의 도메인만 지원합니다. 프로비저닝된 사용자 및 그룹은 Workspace ONE 서비스에서 이 도메인과 연결됩니다.

    도메인 이름은 최대 100자까지 입력할 수 있습니다. 문자(a-z 또는 그에 상당하는 다른 언어의 문자), 숫자(0-9), 공백, 하이픈(-), 밑줄(_) 및 마침표(.)만 허용됩니다.

    예:

    이 예에서 디렉토리 이름은 Demo이고 도메인 이름은 example.com입니다.
  3. 저장을 클릭하고 선택 항목을 확인합니다.

다음에 수행할 작업

사용자 및 그룹 프로비저닝을 설정합니다.

사용자 및 그룹 프로비저닝 설정(Okta)

VMware Identity Services에 디렉토리를 생성한 후 사용자 및 그룹 프로비저닝을 설정합니다. 프로비저닝에 필요한 관리 자격 증명을 생성하여 VMware Identity Services의 프로세스를 시작한 다음 Okta에서 프로비저닝 애플리케이션을 생성하여 사용자 및 그룹을 Workspace ONE에 프로비저닝합니다.

사전 요구 사항

Okta에 프로비저닝을 설정하는 데 필요한 권한이 있는 관리자 계정이 있습니다.

프로시저

  1. Workspace ONE Cloud 콘솔에서 디렉토리를 생성한 후 마법사의 2단계 Okta 애플리케이션 구성에서 생성된 값을 검토하고 복사합니다.
    Okta에서 프로비저닝 애플리케이션을 구성하려면 다음 값이 필요합니다.
    • 테넌트 URL: VMware Identity Services 테넌트의 SCIM 2.0 끝점입니다. 값을 복사합니다.
    • 토큰 수명: 암호 토큰이 유효한 기간입니다.

      기본적으로 VMware Identity Services에서는 수명이 6개월인 토큰이 생성됩니다. 토큰 수명을 변경하려면 아래쪽 화살표를 클릭하고 다른 옵션을 선택한 다음 재생성을 클릭하여 토큰을 새 값으로 재생성합니다.

      중요: 토큰 수명을 업데이트할 때마다 이전 토큰이 유효하지 않게 되고 Okta에서 사용자 및 그룹의 프로비저닝이 실패합니다. 새 토큰을 재생성하고 복사하여 Okta 애플리케이션에 붙여넣어야 합니다.
    • 암호 토큰: 사용자를 Workspace ONE에 프로비저닝하기 위해 Okta에 필요한 토큰입니다. 복사 아이콘을 클릭하여 값을 복사합니다.
      중요: 다음을 클릭하기 전에 토큰을 복사해야 합니다. 다음을 클릭하면 토큰이 더 이상 표시되지 않으며 새 토큰을 생성해야 합니다. 토큰을 재생성하면 이전 토큰이 유효하지 않게 되고 프로비저닝이 실패합니다. 반드시 새 토큰을 복사하여 Okta 애플리케이션에 붙여넣어야 합니다.

    예:

    테넌트 URL은 https://FQDN/usergroup/scim/v2 형식이며 토큰 수명은 12개월입니다.

    토큰이 곧 만료되면 Workspace ONE Cloud 콘솔에 배너 알림이 표시됩니다. 이메일 알림도 수신하려면 Workspace ONE Access 및 ID 서비스의 암호 토큰 만료 설정에 대해 이메일 확인란이 선택되어 있는지 확인합니다. Workspace ONE Cloud 콘솔의 [알림 설정] 페이지에서 설정을 찾을 수 있습니다.
  2. Okta에서 프로비저닝 애플리케이션을 생성합니다.
    1. Okta 관리 콘솔에 로그인합니다.
    2. 왼쪽 탐색 창에서 애플리케이션 > 애플리케이션을 선택합니다.
    3. 애플리케이션 카탈로그 찾아보기를 클릭합니다.
    4. SCIM 2.0 테스트 애플리케이션(OAuth Bearer 토큰)을 검색합니다.
    5. 애플리케이션 페이지에서 통합 추가를 클릭합니다.
    6. SCIM 2.0 테스트 애플리케이션(OAuth Bearer 토큰) 추가 페이지의 일반 설정 탭에서 애플리케이션 레이블 텍스트 상자에 애플리케이션의 이름을 입력합니다. 예를 들어, VMware Identity Services - SCIM입니다.
      이 예제 애플리케이션의 이름은 VMware Identity Services - SCIM입니다.
    7. 다음을 클릭합니다.
    8. Sign-On 옵션 탭에서 페이지 하단에 있는 완료를 클릭합니다.
      애플리케이션 페이지가 나타납니다.
    9. 애플리케이션 페이지에서 프로비저닝 탭을 선택합니다.
    10. API 통합 구성을 클릭합니다.
      ""
    11. API 통합 사용 확인란을 선택합니다.
    12. VMware Identity Services 마법사에서 정보를 복사하여 붙여넣어 통합 섹션을 완료합니다.
      1. VMware Identity Services 마법사에서 테넌트 URL 값을 복사하여 Okta 관리 콘솔의 SCIM 2.0 기본 URL 텍스트 상자에 붙여넣습니다.
      2. VMware Identity Services 마법사에서 암호 토큰 값을 복사하여 Okta 관리 콘솔의 OAuth Bearer 토큰 텍스트 상자에 붙여넣습니다.
      3. API 자격 증명 테스트 버튼을 클릭하여 연결을 테스트합니다.
        ""
      4. SCIM 2.0 테스트 애플리케이션(OAuth Bearer 토큰)이 성공적으로 검증되었는지 확인하십시오.계속하기 전의 메시지.
      5. 저장을 클릭합니다.

        애플리케이션에 프로비저닝 페이지가 나타납니다.

    13. 애플리케이션에 프로비저닝 페이지에서 편집을 클릭하고 다음 옵션에 대해 사용을 선택합니다.
      • 사용자 생성
      • 사용자 특성 업데이트
      • 사용자 비활성화
      ""
    14. 저장을 클릭합니다.

다음에 수행할 작업

Workspace ONE Cloud 콘솔로 돌아가 VMware Identity Services 마법사를 계속합니다.

3단계: SCIM 사용자 특성 매핑

사용자 특성을 매핑하여 Okta에서 Workspace ONE 서비스로 동기화합니다. Okta 관리 콘솔에서 필수 SCIM 사용자 특성을 추가하고 이를 Okta 특성에 매핑합니다. 최소한도로 VMware Identity Services 및 Workspace ONE 서비스에 필요한 특성을 동기화합니다.

VMware Identity Services 및 Workspace ONE 서비스에는 다음과 같은 SCIM 사용자 특성이 필요합니다.

Okta 특성 SCIM 사용자 특성(필수)
userName userName
user.email emails[type eq "work"].value
user.firstName name.givenName
user.lastName name.familyName
externalId externalId
active active
참고: 이 테이블은 필수 SCIM 특성 및 Okta 특성 간의 일반적인 매핑을 보여줍니다. SCIM 특성을 여기에 나열된 특성과 다른 Okta 특성에 매핑할 수 있습니다.

이러한 특성과 특성의 Workspace ONE 특성으로 매핑에 대한 자세한 내용은 VMware Identity Services의 사용자 특성 매핑 항목을 참조하십시오.

필수 특성 외에도 선택적 특성 및 사용자 지정 특성을 동기화할 수 있습니다. 지원되는 선택적 및 사용자 지정 특성 목록은 VMware Identity Services의 사용자 특성 매핑을 참조하십시오.

중요: Okta에서 VMware Identity Services에 동기화할 그룹 특성 매핑을 지정할 수 없습니다. 사용자 특성만 매핑할 수 있습니다.

프로시저

  1. Workspace ONE Cloud 콘솔에서 VMware Identity Services 마법사의 3단계 SCIM 사용자 특성 매핑에서 VMware Identity Services에서 지원하는 특성 목록을 검토합니다.
  2. Okta 관리 콘솔에서 VMware Identity Services로의 사용자 프로비저닝을 위해 생성한 프로비저닝 애플리케이션으로 이동합니다.
  3. 프로비저닝 탭을 선택합니다.
  4. AppName 특성 매핑 섹션으로 스크롤한 후 프로파일 편집기로 이동을 클릭합니다.
  5. 프로파일 편집기 페이지의 특성 아래에서 매핑을 클릭합니다.
    ""
  6. Okta 사용자를 AppName으로 탭을 선택합니다.
    ""
  7. 필수 SCIM 사용자 특성을 Okta 특성에 매핑한 다음 매핑 저장을 클릭합니다.
    참고: externalId 특성은 암시적으로 설정됩니다.
  8. 필요에 따라 선택적 및 사용자 지정 SCIM 사용자 특성을 추가하고 매핑합니다.
    사용자 지정 특성을 추가하려면 다음을 수행합니다.
    1. VMware Identity Services 마법사의 3단계: SCIM 사용자 특성 매핑에서 추가 특성 표시 링크를 클릭합니다.
      사용자 지정 특성 섹션에 Okta에서 사용자 지정 특성으로 추가할 수 있는 SCIM 특성이 나열됩니다. VMware Identity Services 사용자 지정 특성의 이름은 urn:ietf:params:scim:schemas:extension:ws1b:2.0:User:customAttribute#입니다. VMware Identity Services는 최대 5개의 사용자 지정 특성을 지원합니다.
      ""
    2. Okta 관리 콘솔의 프로파일 편집기 페이지에서 + 특성 추가를 클릭합니다.
      ""
    3. 특성 추가 창에서 다음 정보를 입력합니다.
      표시 이름: 특성의 표시 이름을 입력합니다. 예를 들어, customAttribute3입니다.

      변수 이름: VMware Identity Services 마법사의 특성 이름을 입력합니다. 예를 들어, customAttribute3입니다.

      외부 이름: VMware Identity Services 마법사의 특성 이름을 입력합니다. 예를 들어, customAttribute3입니다.

      외부 네임스페이스: urn:ietf:params:scim:schemas:extension:ws1b:2.0:User를 입력합니다. VMware Identity Services 마법사에 나열된 사용자 지정 SCIM 특성의 이 값을 복사할 수 있습니다. :customAttribute# 접미사 없이 SCIM 특성의 이름을 복사합니다.


      ""

      예:


      ""
    4. 저장을 클릭합니다.
      새 사용자 지정 특성이 특성 테이블에 나타납니다.
    5. 매핑을 클릭한 다음 Okta 사용자를 AppName으로 탭을 선택합니다.
    6. 오른쪽 열에서 새 사용자 지정 특성을 찾아 매핑할 특성을 선택합니다.
      예:
      customAttribute3이 user.title에 매핑됩니다.
    7. 매핑 저장을 클릭합니다.
    8. 지금 업데이트 적용을 클릭합니다.

다음에 수행할 작업

Workspace ONE Cloud 콘솔로 돌아가 VMware Identity Services 마법사를 계속합니다.

4단계: 인증 프로토콜 선택

페더레이션된 인증에 사용할 프로토콜을 선택합니다. VMware Identity Services는 OpenID Connect 및 SAML 프로토콜을 지원합니다.

경고: 신중하게 선택하십시오. 프로토콜을 선택하고 인증을 구성한 후에는 디렉토리를 삭제하지 않고 프로토콜 유형을 변경할 수 없습니다.

프로시저

  1. 마법사의 4단계 인증 프로토콜 선택에서 OpenID Connect 또는 SAML을 선택합니다.
  2. 다음을 클릭합니다.
    마법사의 다음 단계는 선택한 프로토콜을 구성하는 데 필요한 값과 함께 나타납니다.

다음에 수행할 작업

페더레이션된 인증을 위해 VMware Identity Services 및 Okta를 구성합니다.

5단계: 인증 구성(Okta)

Okta를 사용하여 페더레이션된 인증을 구성하려면 VMware Identity Services의 서비스 제공자 메타데이터를 사용하여 Okta에서 OpenID Connect 또는 SAML 애플리케이션을 설정하고 애플리케이션의 값으로 VMware Identity Services를 구성합니다.

중요: 사용자 프로비저닝 및 ID 제공자 구성을 위해 Okta 관리 콘솔에서 별도의 애플리케이션을 생성해야 합니다. 프로비저닝 및 인증에 동일한 애플리케이션을 사용할 수 없습니다.

OpenID Connect

OpenID Connect를 인증 프로토콜로 선택한 경우 다음 단계를 수행합니다.
참고: 자세한 정보는 Okta 설명서 OIDC 애플리케이션 통합 생성을 참조하고 최신 사용자 인터페이스도 참조하십시오.
  1. VMware Identity Services 마법사의 5단계 OpenID Connect 구성에서 리디렉션 URI 값을 복사합니다.

    Okta 관리 콘솔에서 OpenID Connect 애플리케이션을 생성할 때 다음 단계에 이 값이 필요합니다.

    ""
  2. Okta에서 OpenID Connect 애플리케이션을 생성합니다.
    1. Okta 관리 콘솔의 왼쪽 창에서 애플리케이션 > 애플리케이션을 선택하고 애플리케이션 통합 생성을 클릭합니다.
    2. 새 애플리케이션 통합 생성 창에서 OIDC - OpenID Connect를 선택합니다.
    3. 애플리케이션 유형에서 Web 애플리케이션을 선택한 후 다음을 클릭합니다.
    4. 새 Web 애플리케이션 통합 페이지에서 다음 값을 지정합니다.

      애플리케이션 통합 이름: 애플리케이션의 이름을 입력합니다.

      권한 부여 유형: 인증 코드를 선택합니다.

      로그인 리디렉션 URI: VMware Identity Services 마법사의 5단계에서 복사한 리디렉션 URI 값을 복사하여 붙여넣습니다.

      할당 - 제어된 액세스: 지금 그룹에 애플리케이션을 할당하거나 나중에 할당하도록 선택할 수 있습니다.

      예:

      ""
    5. 저장을 클릭합니다.
  3. Okta OpenID Connect 애플리케이션의 클라이언트 ID 및 클라이언트 암호를 찾습니다.
    1. 일반 탭을 선택합니다.
    2. Client IDClient 암호 값을 찾습니다.
      ""

    다음 단계에서 이러한 값을 사용합니다.

  4. Workspace ONE Cloud 콘솔에서 VMware Identity Services 마법사로 돌아가서 OpenID Connect 구성 섹션의 구성을 완료합니다.
    Client ID Okta OpenID Connect 애플리케이션에서 Client ID 값을 복사하여 붙여넣습니다.
    Client Secret Okta OpenID Connect 애플리케이션에서 클라이언트 암호 값을 복사하여 붙여넣습니다.
    구성 URL Okta 앱의 OpenID Connect의 잘 알려진 구성 URL을 복사하여 붙여넣습니다. 예: https://yourOktaOrg/.well-known/openid-configuration
    OIDC 사용자 식별자 특성 사용자 조회를 위해 Workspace ONE 특성에 매핑할 OpenID Connect 특성을 지정합니다.
    Workspace ONE 사용자 식별자 특성 사용자 조회를 위해 OpenID Connect 특성에 매핑할 Workspace ONE 특성을 지정합니다.
    ""
  5. 완료를 클릭하여 VMware Identity Services와 Okta 간의 통합 설정을 완료합니다.

SAML

SAML을 인증 프로토콜로 선택한 경우 다음 단계를 수행합니다.

중요: ID 제공자 구성을 위해 새 애플리케이션을 생성해야 합니다. 프로비저닝 및 인증에 동일한 애플리케이션을 사용할 수 없습니다.
  1. Okta에서 SAML 애플리케이션을 생성합니다.
    1. Okta 관리 콘솔에서 애플리케이션 > 애플리케이션을 선택하고 애플리케이션 통합 생성을 클릭합니다.
      ""
    2. 새 애플리케이션 통합 생성 창에서 SAML 2.0을 선택하고 다음을 클릭합니다.
    3. SAML 통합 생성 창의 일반 설정 탭에서 애플리케이션 이름 텍스트 상자에 SAML 애플리케이션의 이름을 입력한 후 다음을 클릭합니다.
    4. 새 애플리케이션의 SAML 구성 탭에서 VMware Identity Services의 값을 복사하여 붙여넣습니다.
      • VMware Identity Services 마법사의 5단계에서 Single Sign-On URL 값을 복사하여 SAML 설정 아래의 Single Sign-On URL 텍스트 상자에 붙여넣습니다.
      • VMware Identity Services 마법사의 5단계에서 엔티티 ID 값을 복사하여 대상 URI(SP 엔티티 ID) 텍스트 상자에 붙여넣습니다.
      그림 1. VMware Identity Services 5단계
      ""
      그림 2. Okta SAML 애플리케이션
      ""
    5. 이름 ID 형식 값을 선택합니다.
    6. 고급 설정 표시를 클릭하고 서명 인증서 옵션의 경우 VMware Identity Services 마법사 5단계의 서명 인증서를 업로드합니다.
    7. 다음을 클릭하고 애플리케이션 설정을 완료합니다.
  2. Okta에서 페더레이션 메타데이터를 가져옵니다.
    1. 애플리케이션이 생성된 후 로그온 탭의 오른쪽 창에서 SAML 설정 지침 보기를 클릭합니다.
    2. 선택 사항 섹션 아래의 1단계: SP 제공자에게 다음 IDP 메타데이터 제공 텍스트 상자에서 메타데이터를 복사합니다.
      ""
  3. Workspace ONE Cloud 콘솔의 VMware Identity Services 마법사 5단계에서 메타데이터를 ID 제공자 메타데이터 텍스트 상자에 붙여 넣습니다.
    ""
  4. 필요에 따라 SAML Single Sign-On 구성 섹션의 나머지 옵션을 구성합니다.
    • 바인딩 프로토콜: SAML 바인딩 프로토콜, HTTP POST 또는 HTTP 리디렉션을 선택합니다.
    • 이름 ID 형식: 이름 ID 형식이름 ID 값 설정을 사용하여 ID 제공자와 VMware Identity Services 간에 사용자를 매핑합니다. 이름 ID 형식의 경우, SAML 응답에 사용되는 이름 ID 형식을 지정합니다.
    • 이름 ID 값: SAML 응답에서 수신된 이름 ID 값을 매핑할 VMware Identity Services 사용자 특성을 선택합니다.
    • SAML 요청에서 제목 보내기(사용 가능한 경우): 가능한 경우, 사용자 로그인 환경을 개선하기 위해 ID 제공자에게 제목을 로그인 힌트로 보내려면 이 옵션을 선택합니다.
    • 제목에 이름 ID 형식 매핑 사용: SAML 요청에서 제목에 이름 ID 형식이름 ID 값 매핑을 적용하려면 이 옵션을 선택합니다. 이 옵션은 SAML 요청에서 제목 보내기(사용 가능한 경우) 옵션과 함께 사용됩니다.
      경고: 이 옵션을 사용하도록 설정하면 사용자 열거라고 하는 보안 취약점의 위험이 증가할 수 있습니다.
    • SAML 단일 로그아웃 사용: 사용자가 Workspace ONE 서비스에서 로그아웃한 후 ID 제공자 세션에서 사용자를 로그아웃하려면 이 옵션을 선택합니다.
    • ID 제공자 단일 로그아웃 URL: ID 제공자가 SAML 단일 로그아웃을 지원하지 않는 경우 이 옵션을 사용하여 사용자가 Workspace ONE 서비스에서 로그아웃한 후 사용자를 리디렉션할 URL을 지정할 수 있습니다. 이 옵션을 사용하는 경우 SAML 단일 로그아웃 사용 확인란도 선택합니다.

      이 옵션을 비워 두면 사용자가 SAML 단일 로그아웃을 사용하여 ID 제공자로 리디렉션됩니다.

    • 암호화 인증서: Okta에서 SAML 암호화를 사용하도록 설정하려는 경우 이 인증서를 Okta SAML 애플리케이션에 업로드합니다.
  5. 완료를 클릭하여 VMware Identity Services와 Okta 간의 통합 설정을 완료합니다.

결과

VMware Identity Services와 Okta 간의 통합이 완료되었습니다.

디렉토리는 VMware Identity Services에 생성되며 Okta의 프로비저닝 애플리케이션에서 사용자 및 그룹을 푸시하면 채워집니다. 프로비저닝된 사용자 및 그룹은 Workspace ONE AccessWorkspace ONE UEM과 같은 VMware Identity Services와 함께 사용하도록 선택한 Workspace ONE 서비스에 자동으로 표시됩니다.

Workspace ONE AccessWorkspace ONE UEM 콘솔에서는 디렉토리를 편집할 수 없습니다. 디렉토리, 사용자, 사용자 그룹, 사용자 특성 및 ID 제공자 페이지는 읽기 전용입니다.

다음에 수행할 작업

다음에는 사용자 및 그룹을 프로비저닝할 Workspace ONE 서비스를 선택합니다.

그런 다음 Okta에서 사용자 및 그룹을 푸시합니다. Workspace ONE에 사용자 프로비저닝을 참조하십시오.