vCenter Server ID 제공자 페더레이션 기본 사항

vSphere 7.0부터 vCenter Server는 페더레이션된 인증을 지원합니다. 이 시나리오에서 사용자가 vCenter Server에 로그인하면 vCenter Server가 사용자 로그인을 외부 ID 제공자로 리디렉션합니다. 사용자 자격 증명은 더 이상 vCenter Server에 직접 제공되지 않습니다. 대신 사용자가 외부 ID 제공자에 자격 증명을 제공합니다. vCenter Server는 외부 ID 제공자를 신뢰하여 인증을 수행합니다. 페더레이션 모델에서 사용자는 ID 제공자 외에 어떤 서비스 또는 애플리케이션에도 자격 증명을 직접 제공하지 않습니다. 따라서 애플리케이션 및 서비스(예: vCenter Server)를 ID 제공자와 "페더레이션"합니다.

vCenter Server ID 제공자 페더레이션 이점

vCenter Server ID 제공자 페더레이션은 다음과 같은 이점을 제공합니다.

• 기존의 페더레이션된 인프라 및 애플리케이션에서 Single Sign-On을 사용할 수 있습니다.
• vCenter Server에서 사용자의 자격 증명을 처리하지 않으므로 데이터 센터 보안을 향상시킬 수 있습니다.
• 외부 ID 제공자가 지원하는 인증 메커니즘(예: 다단계 인증)을 사용할 수 있습니다.

vCenter Server ID 제공자 페더레이션 구성 요소

다음 구성 요소는 Microsoft AD FS(Active Directory Federation Services)를 사용하는 vCenter Server ID 제공자 페더레이션 구성을 구성합니다.

• vCenter Server
• vCenter Server에서 구성된 ID 제공자 서비스
• AD FS 서버 및 연결된 Microsoft Active Directory 도메인
• AD FS 애플리케이션 그룹
• vCenter Server 그룹 및 사용자에 매핑되는 Active Directory 그룹 및 사용자

vCenter Server ID 제공자 페더레이션 아키텍처

vCenter Server ID 제공자 페더레이션에서 vCenter Server는 OIDC(OpenID Connect) 프로토콜을 사용하여 vCenter Server로 사용자를 인증하는 ID 토큰을 수신합니다.

vCenter Server와 ID 제공자 간 당사자 신뢰를 설정하려면 서로 간에 식별 정보 및 공유 암호를 설정해야 합니다. AD FS에서는 서버 애플리케이션과 웹 API로 구성된, 애플리케이션 그룹이라고 하는 OIDC 구성을 생성하여 이 작업을 수행합니다. 이 두 구성 요소는 AD FS 서버를 신뢰하고 이 서버와 통신하기 위해 vCenter Server에서 사용하는 정보를 지정합니다. 또한 vCenter Server에서 해당하는 ID 제공자를 생성합니다. 마지막으로 vCenter Server에서 그룹 멤버 자격을 구성하여 AD FS 도메인 사용자의 로그인을 인증합니다.

AD FS 관리자는 다음 정보를 제공하여 vCenter Server ID 제공자 구성을 생성해야 합니다.

• 클라이언트 식별자: AD FS 애플리케이션 그룹 마법사에서 생성되는 UUID 문자열로, 애플리케이션 그룹 자체를 식별합니다.
• 공유 암호: AD FS 애플리케이션 그룹 마법사에서 생성되는 암호로, vCenter Server를 AD FS에 인증하는 데 사용됩니다.
• OpenID 주소: AD FS 서버의 OpenID 제공자 검색 끝점 URL이며, 잘 알려진 주소를 지정합니다(일반적으로 발급자 끝점에 "/.well-known/openid-configuration" 경로 연결). 예: https://webserver.example.com/adfs/.well-known/openid-configuration.