vCenter Single Sign-On 서버에는 STS(Security Token Service)가 포함됩니다. Security Token Service는 보안 토큰을 발급, 검증 및 갱신하는 웹 서비스입니다. 인증서가 만료되거나 변경된 경우 vSphere Web Client에서 기존 Security Token Service 인증서를 수동으로 새로 고칠 수 있습니다.
SAML 토큰을 획득하기 위해 사용자는 기본 자격 증명을 STS(Secure Token Server)에 제공합니다. 기본 자격 증명은 사용자 유형에 따라 다릅니다.
-
솔루션 사용자
-
유효한 인증서
-
기타 사용자
-
vCenter Single Sign-On ID 소스에서 사용할 수 있는 사용자 이름 및 암호
STS는 기본 자격 증명을 사용하여 사용자를 인증하고 사용자 특성이 포함된 SAML 토큰을 구성합니다. STS 서비스는 STS 서명 인증서로 SAML 토큰을 서명한 다음 토큰을 사용자에게 할당합니다. 기본적으로 STS 서명 인증서는 VMCA를 통해 생성됩니다.
사용자가 SAML 토큰을 가진 후 SAML 토큰은 가능한 다양한 프록시를 통해 사용자의 HTTP 요청의 일부로 전송됩니다. 의도한 수신자(서비스 제공자)만 SAML 토큰에서 해당 정보를 사용할 수 있습니다.
회사 정책에서 요구하거나 만료된 인증서를 업데이트하려는 경우 기존 STS 서명 인증서
vSphere Web Client를 교체할 수 있습니다.
경고: 파일 시스템의 파일을 교체하지 마십시오. 교체할 경우 디버깅하기 어려운 예기치 않은 오류가 발생합니다.
참고: 인증서를 교체한 다음 노드를 다시 시작하여
vSphere Web Client 서비스와 STS 서비스를 모두 다시 시작해야 합니다.
사전 요구 사항
Java 키 저장소에 추가한 인증서를
Platform Services Controller에서 로컬 워크스테이션으로 복사합니다.
-
Platform Services Controller 장치
-
certificate_location/keys/root-trust.jks For example: /keys/root-trust.jks
-
예:
-
/root/newsts/keys/root-trust.jks
-
Windows 설치
-
certificate_location\root-trust.jks
-
예:
-
C:\Program Files\VMware\vCenter Server\jre\bin\root-trust.jks
프로시저
- [email protected] 또는 vCenter Single Sign-On 관리자 권한을 가진 다른 사용자로 vSphere Web Client에 로그인합니다.
기본적으로
vCenter Single Sign-On 관리자 권한이 있는 사용자는 로컬
vCenter Single Sign-On 도메인인 vsphere.local의 관리자 그룹에 있습니다.
- 구성 UI로 이동합니다.
- 홈 메뉴에서 관리를 선택합니다.
- Single Sign-On에서 구성을 클릭합니다.
- 인증서 탭을 선택한 다음 STS 서명 하위 탭을 선택하고 STS 서명 인증서 추가 아이콘을 클릭합니다.
- 인증서를 추가합니다.
- 찾아보기를 클릭하여 새 인증서가 포함된 키 저장소 JKS 파일을 찾고 열기를 클릭합니다.
- 메시지가 표시되면 암호를 입력합니다.
- STS 별칭 체인의 맨 위를 클릭하고 확인을 클릭합니다.
- 메시지가 표시되면 암호를 다시 입력합니다.
- 확인을 클릭합니다.
- Platform Services Controller 노드를 다시 시작하여 STS 서비스와 vSphere Web Client를 모두 다시 시작합니다.
다시 시작하기 전까지는 인증이 제대로 작동하지 않으니 반드시 다시 시작해야 합니다.