vSphere와 함께 vCenter Single Sign-On 사용

사용자가 vSphere 구성 요소에 로그인하거나 vCenter Server 솔루션 사용자가 다른 vCenter Server 서비스에 액세스하면 vCenter Single Sign-On이 인증을 수행합니다. 사용자는 vCenter Single Sign-On에 인증되어야 하며 vSphere 개체와 상호 작용하는 데 필요한 권한을 갖고 있어야 합니다.

vCenter Single Sign-On은 솔루션 사용자와 기타 사용자를 모두 인증합니다.

솔루션 사용자는 vSphere 환경에서 서비스 집합을 나타냅니다. 설치할 때 VMCA는 기본적으로 각 솔루션 사용자에게 인증서를 할당합니다. 솔루션 사용자는 이 인증서를 사용하여 vCenter Single Sign-On에 인증합니다. vCenter Single Sign-On은 솔루션 사용자에게 SAML 토큰을 제공하며, 그러면 솔루션 사용자는 환경의 다른 서비스와 상호 작용할 수 있습니다.
다른 사용자가 환경에 로그인하면(예를 들어 vSphere Web Client에서), vCenter Single Sign-On에서 사용자 이름과 암호를 묻습니다. vCenter Single Sign-On이 해당 ID 소스에서 해당 자격 증명을 가진 사용자를 찾으면 사용자에게 SAML 토큰을 할당합니다. 이제 사용자는 다시 인증 과정을 거치지 않은 채 환경의 다른 서비스에 액세스할 수 있습니다.
사용자가 어떤 개체를 볼 수 있고 어떤 작업을 수행할 수 있는지는 일반적으로 vCenter Server 사용 권한 설정에 따라 결정됩니다. vCenter Server 관리자는 vCenter Single Sign-On을 통해서가 아니라 vSphere Web Client의 사용 권한 인터페이스에서 이러한 사용 권한을 할당합니다. "vSphere 보안" 설명서를 참조하십시오.

vCenter Single Sign-On 및 vCenter Server 사용자

vSphere Web Client를 사용하는 경우 사용자는 vSphere Web Client 로그인 페이지에 자격 증명을 입력하여 vCenter Single Sign-On에 대한 인증을 받습니다. vCenter Server에 연결한 후, 인증된 사용자는 역할에 따라 권한이 부여된 모든 vCenter Server 인스턴스 또는 vSphere 개체를 볼 수 있습니다. 추가 인증이 필요하지 않습니다.

설치 후 vCenter Single Sign-On 도메인의 관리자(기본적으로 [email protected])는 vCenter Single Sign-On과 vCenter Server 모두에 관리자로 액세스할 수 있습니다. 그런 다음 이 사용자는 ID 소스를 추가하고, 기본 ID 소스를 설정하고, vCenter Single Sign-On 도메인(기본적으로 vsphere.local)의 사용자 및 그룹을 관리할 수 있습니다.

vCenter Single Sign-On에 인증할 수 있는 모든 사용자는 암호를 알고 있기만 하면 암호가 만료되더라도 자신의 암호를 재설정할 수 있습니다. vCenter Single Sign-On 암호 변경를 참조하십시오. 더 이상 암호가 없는 사용자의 암호는 vCenter Single Sign-On 관리자만 재설정할 수 있습니다.

vCenter Single Sign-On 관리자

vCenter Single Sign-On 관리 인터페이스는 vSphere Web Client 및 Platform Services Controller 웹 인터페이스에서 액세스할 수 있습니다.

vCenter Single Sign-On을 구성하고 vCenter Single Sign-On 사용자 및 그룹을 관리하려면 [email protected] 사용자나 vCenter Single Sign-On 관리자 그룹의 사용자가 vSphere Web Client에 로그인해야 합니다. 이러한 사용자는 인증 후 vSphere Web Client에서 vCenter Single Sign-On 관리 인터페이스에 액세스하여 ID 소스 및 기본 도메인을 관리하고, 암호 정책을 지정하고, 그 밖의 관리 작업을 수행할 수 있습니다. vCenter Single Sign-On ID 소스 구성를 참조하십시오.

참고: 설치 시 다른 도메인을 지정한 경우에는 vCenter Single Sign-On 관리자의 기본 이름인 [email protected] 또는 administrator@ mydomain은 변경할 수 없습니다. 보안을 강화하려면 vCenter Single Sign-On 도메인에 이름이 지정된 사용자를 추가로 생성하고 이러한 사용자에게 관리 권한을 할당하는 것이 좋습니다. 이렇게 하면 관리자 계정을 더 사용하지 않아도 됩니다.

ESXi 사용자

독립형 ESXi 호스트는 vCenter Single Sign-On 또는 Platform Services Controller와 통합되지 않습니다. ESXi 호스트를 Active Directory에 추가하는 데 대한 자세한 내용은 "vSphere 보안" 을 참조하십시오.

VMware Host Client, vCLI 또는 PowerCLI를 사용하여 관리되는 ESXi 호스트의 로컬 ESXi 사용자를 생성하면 vCenter Server에서는 해당 사용자를 인식하지 못합니다. 따라서 로컬 사용자를 생성하면 사용자 이름이 동일한 경우에는 특히 혼동을 야기할 수 있습니다. vCenter Single Sign-On에 인증할 수 있는 사용자가 ESXi 호스트 개체에 대해 해당하는 사용 권한을 가지고 있으면 이 사용자는 ESXi 호스트를 보고 관리할 수 있습니다.

참고: 가능하면 vCenter Server를 통해 ESXi 호스트에 대한 사용 권한을 관리하십시오.

vCenter Server 구성 요소에 로그인하는 방법

vSphere Web Client 또는 Platform Services Controller 웹 인터페이스에 연결하여 로그인할 수 있습니다.

사용자가 vSphere Web Client에서 vCenter Server 시스템에 로그인할 때 로그인 동작은 해당 사용자가 기본 ID 소스로 설정된 도메인에 있는지 여부에 따라 달라집니다.

기본 도메인에 있는 사용자는 자신의 사용자 이름과 암호로 로그인할 수 있습니다.
vCenter Single Sign-On에 ID 소스로 추가되었지만 기본 도메인은 아닌 도메인에 있는 사용자는 vCenter Server에 로그인할 수는 있지만 다음 방법 중 하나로 도메인을 지정해야 합니다.
- 도메인 이름 접두사 포함(예: MYDOMAIN\user1)
- 도메인 포함(예: [email protected])
vCenter Single Sign-On ID 소스가 아닌 도메인에 있는 사용자는 vCenter Server에 로그인할 수 없습니다. vCenter Single Sign-On에 추가하는 도메인이 도메인 계층의 일부이면 Active Directory에서는 해당 계층에 있는 다른 도메인의 사용자가 인증되었는지 여부를 확인합니다.

환경에 Active Directory 계층이 포함된 경우 VMware 기술 자료 문서 2064250에서 지원되는 설정과 지원되지 않는 설정에 대한 자세한 내용을 참조하십시오.

참고: vSphere 6.0 업데이트 2부터는 2단계 인증이 지원됩니다. vCenter Server 이중 인증를 참조하십시오.