vSphere는 vCenter Server 및 ESXi 구성 요소에 대해 인증서 관리 작업을 수행하고 vCenter Single Sign-On을 통해 인증을 구성할 수 있는 서비스를 제공합니다.
vSphere 인증서 관리 개요
기본적으로 vSphere를 사용하면 VMCA(VMware Certificate Authority)를 통해 vCenter Server 구성 요소 및 ESXi 호스트를 프로비저닝할 수 있습니다. 또한 VECS(VMware Endpoint Certificate Store)에 저장된 사용자 지정 인증서를 사용할 수도 있습니다.
vCenter Single Sign-On 개요
vCenter Single Sign-On을 사용하면 안전한 토큰 메커니즘을 통해 vSphere 구성 요소가 서로 통신할 수 있습니다. vCenter Single Sign-On에서는 이해가 필요한 몇 가지 중요한 용어와 정의가 사용됩니다.
| 용어 | 정의 |
|---|---|
| 주체 | 사용자와 같이 인증될 수 있는 엔티티입니다. |
| ID 제공자 | ID 소스를 관리하고 주체를 인증하는 서비스입니다. 예: Microsoft AD FS(Active Directory Federation Services) 및 vCenter Single Sign-On. |
| ID 소스(디렉토리 서비스) | 주체를 저장하고 관리합니다. 주체는 이름, 주소, 이메일, 그룹 멤버 자격과 같이 특정 사용자 또는 서비스에 대한 특성 모음으로 구성됩니다. 예: Microsoft Active Directory 및 VMware Directory Service(vmdir). |
| 인증 | 누군가 또는 무언가가 실제로 자신을 누구로 또는 무엇으로 선언할지 결정하는 방법입니다. 예를 들어 사용자는 스마트 카드, 사용자 이름, 올바른 암호 등과 같은 자신의 자격 증명을 제공할 때 인증됩니다. |
| 권한 부여 | 개체 주체가 액세스할 수 있는 대상을 확인하는 프로세스입니다. |
| 토큰 | 지정된 주체에 대한 ID 정보를 구성하는 서명된 데이터의 모음입니다. 토큰에는 이메일 주소, 전체 이름과 같이 주체에 대한 기본 정보를 비롯하여 토큰 유형에 따라 주체의 그룹 및 역할도 포함될 수 있습니다. |
| vmdir | VMware Directory Service. 사용자 ID, 그룹 및 구성 데이터가 들어 있는 vCenter Server의 내부(로컬) LDAP 저장소입니다. |
| OIDC(OpenID Connect) | OAuth2 기반의 인증 프로토콜입니다. vCenter Server는 AD FS(Active Directory Federation Services)와 상호 작용할 때 OIDC 기능을 사용합니다. |
vCenter Single Sign-On 인증 유형
vCenter Single Sign-On은 기본 제공 vCenter Server ID 제공자 또는 외부 ID 제공자가 관련되어 있는지 여부에 따라 서로 다른 인증 유형을 사용합니다.
| 인증 유형 | ID 제공자 역할을 수행하는 것은 무엇입니까? | vCenter Server가 암호를 처리합니까? | 설명 |
|---|---|---|---|
| 토큰 기반 인증 | 외부 ID 제공자. 예: AD FS. | 아니요 | vCenter Server는 특정 프로토콜을 통해 외부 ID 제공자에 연결하고 특정 사용자 ID를 나타내는 토큰을 가져옵니다. |
| 단순 인증 | vCenter Server | 예 | 사용자 이름과 암호가 vCenter Server에 직접 전달되고 여기에서 해당 ID 소스를 통해 자격 증명을 검증합니다. |
