고급 연결 모드를 사용하여 vCenter Server 환경에서 ID 제공자 페더레이션을 사용하도록 설정하면 인증 및 워크플로가 이전과 같이 계속 작동합니다.

고급 연결 모드 구성을 사용하는 경우 페더레이션된 인증을 사용하여 vCenter Server에 로그인할 때에는 다음에 유의하십시오.

  • 사용자는 vCenter Server 사용 권한 및 역할 모델을 기반으로 동일한 인벤토리를 계속 보고 동일한 작업을 수행할 수 있습니다.
  • 고급 연결 모드에서 vCenter Server 호스트는 서로의 ID 제공자에 액세스할 필요가 없습니다. 예를 들어 A와 B라는 두 개의 vCenter Server 시스템이 있고 고급 연결 모드를 사용 중이라고 가정합니다. vCenter Server A가 사용자에게 권한을 부여하면 이 사용자는 vCenter Server B에 대한 권한도 부여받습니다.

다음 그림은 고급 연결 모드와 vCenter Server ID 제공자 페더레이션을 사용하는 인증 워크플로를 보여 줍니다.

그림 1. 고급 연결 모드 및 vCenter Server ID 제공자 페더레이션
이 그림은 vCenter Server 시스템이 고급 연결 모드를 사용하여 AD FS와 상호 작용하는 방법을 보여줍니다.
  1. 두 개의 vCenter Server 노드가 고급 연결 모드 구성에 배포되었습니다.
  2. vSphere Client에서 [ID 제공자 변경] 마법사를 사용하여 AD FS 설정이 vCenter Server A에 구성되었습니다. AD FS 사용자 또는 그룹에 대한 그룹 멤버 자격 및 사용 권한도 설정되었습니다.
  3. vCenter Server A가 AD FS 구성을 vCenter Server B에 복제합니다.
  4. 두 vCenter Server 노드의 모든 리디렉션 URI가 AD FS의 OAuth 애플리케이션 그룹에 추가됩니다. 하나의 OAuth 애플리케이션 그룹만 생성됩니다.
  5. 사용자가 vCenter Server A에 로그인하여 권한을 부여받으면 vCenter Server B에서도 권한이 부여됩니다. 사용자가 vCenter Server B에 먼저 로그인한 경우에도 마찬가지입니다.
vCenter Server 고급 연결 모드는 ID 제공자 페더레이션에 대해 다음과 같은 구성 시나리오를 지원합니다. 이 섹션에서 "AD FS 설정"과 "AD FS 구성"이라는 용어는 vSphere Client에서 [ID 제공자 변경] 마법사를 사용하여 구성하는 설정 및 AD FS 사용자 또는 그룹에 대해 설정한 그룹 멤버 자격 또는 사용자 권한을 의미합니다.
기존 고급 연결 모드 구성에서 AD FS 사용
개략적인 단계:
  1. 고급 연결 모드 구성에서 N개의 vCenter Server 노드를 배포합니다.
  2. 연결된 vCenter Server 노드 중 하나에 AD FS를 구성합니다.
  3. AD FS 구성이 모든 다른 (N-1)개 vCenter Server 노드로 복제됩니다.
  4. 모든 N개 vCenter Server 노드에 대한 리디렉션 URI를 AD FS에 구성된 OAuth 애플리케이션 그룹에 모두 추가합니다.
vCenter Server를 기존 고급 연결 모드 AD FS 구성에 연결
개략적인 단계:
  1. (사전 요구 사항) vCenter Server N개 노드 고급 연결 모드 구성에서 AD FS를 설정합니다.
  2. 독립적인 새 vCenter Server 노드를 배포합니다.
  3. N개 노드 중 하나를 복제 파트너로 사용하여 새 vCenter Server의 연결 대상을 N개 노드 AD FS 고급 연결 모드 도메인으로 변경합니다.
  4. 기존 고급 연결 모드 구성의 모든 AD FS 설정이 새로운 vCenter Server로 복제됩니다.

    N개 노드 AD FS 고급 연결 모드 도메인에 있는 AD FS 설정이 새로 연결된 vCenter Server의 모든 기존 AD FS 설정을 덮어씁니다.

  5. vCenter Server에 대한 리디렉션 URI를 AD FS에 구성된 기존 OAuth 애플리케이션 그룹에 모두 추가합니다.
고급 연결 모드 AD FS 구성에서 vCenter Server 연결 해제
개략적인 단계:
  1. (사전 요구 사항) N개 노드 vCenter Server 고급 연결 모드 구성에서 AD FS를 설정합니다.
  2. N개 노드 구성에서 vCenter Server 호스트 중 하나의 등록을 취소하고 그 연결 대상을 새 도메인으로 변경하여 N개 노드 구성에서 연결을 해제합니다.
  3. 도메인 연결 대상 변경 프로세스는 SSO 설정을 유지하지 않으므로 연결 해제된 vCenter Server 노드의 모든 AD FS 설정은 되돌려지고 손실됩니다. 연결 해제된 이 vCenter Server 노드에서 AD FS를 계속 사용하려면 AD FS를 처음부터 재구성하거나 vCenter Server를 AD FS가 이미 설정된 고급 연결 모드 구성에 다시 연결해야 합니다.