vCenter Server ID 제공자 페더레이션 주의 사항 및 상호 운용성

vCenter Server ID 제공자 페더레이션은 다른 많은 VMware 기능과 상호 운용할 수 있습니다.

vCenter Server ID 제공자 페더레이션 전략을 계획할 때는 상호 운용성 제한 사항을 고려해야 합니다.

인증 메커니즘

vCenter Server ID 제공자 페더레이션 구성에서 외부 ID 제공자는 인증 메커니즘(암호, MFA, 생체 인식 등)을 처리합니다.

단일 Active Directory 도메인 지원

vCenter Server ID 제공자 페더레이션을 구성할 때 [기본 ID 제공자 구성] 마법사에 vCenter Server에 액세스하려는 사용자 및 그룹이 포함된 AD 도메인에 대한 LDAP 정보를 입력하라는 메시지가 표시됩니다. vCenter Server는 마법사에 지정한 사용자 기반 DN에서 권한 부여 및 사용 권한에 사용할 AD 도메인을 파생합니다. 이 AD 도메인의 사용자 및 그룹에 대해서만 vSphere 개체에 대한 사용 권한을 추가할 수 있습니다. AD 하위 도메인 또는 AD 포리스트의 다른 도메인에 있는 사용자 또는 그룹은 vCenter Server ID 제공자 페더레이션에서 지원되지 않습니다.

vCenter Server 정책

vCenter Server가 ID 제공자 역할을 하는 경우 귀하가 vsphere.local 도메인에 대한 vCenter Server 암호, 잠금 및 토큰 정책을 제어합니다. vCenter Server에서 페더레이션 인증을 사용하면, 외부 ID 제공자가 Active Directory와 같은 ID 소스에 저장된 계정에 대한 암호, 잠금 및 토큰 정책을 제어합니다.

감사 및 규정 준수

vCenter Server ID 제공자 페더레이션을 사용하는 경우 vCenter Server는 성공적인 사용자 로그인을 위해 로그 항목을 계속 생성합니다. 하지만, 실패한 암호 입력 시도 및 사용자 계정 잠금과 같은 작업의 추적 및 로깅은 외부 ID 제공자가 담당합니다. vCenter Server는 이러한 이벤트가 vCenter Server에 더 이상 보이지 않기 때문에 기록하지 않습니다. 예를 들어 AD FS가 ID 제공자인 경우 AD FS가 페더레이션 로그인에 대한 오류를 추적하고 기록합니다. vCenter Server가 로컬 로그인에 대한 ID 제공자이면, vCenter Server가 로컬 로그인에 대한 오류를 추적하고 기록합니다. 페더레이션된 구성에서 vCenter Server는 로그인 후에 사용자 작업을 계속 기록합니다.

기존 VMware 제품 통합

vCenter Server와 통합된 VMware 제품(예: vROps, vSAN, NSX 등)은 이전처럼 계속 작동합니다.

로그인 후 통합 제품

로그인 후 통합하는 제품(즉, 별도의 로그인이 필요하지 않음)은 이전처럼 계속 작동합니다.

API, SDK 및 CLI 액세스를 위한 간단한 인증

단순 인증(즉, 사용자 이름 및 암호)을 사용하는 API, SDK 또는 CLI 명령에 의존하는 기존 스크립트, 제품 및 기타 기능은 계속 이전처럼 작동합니다. 내부적으로 인증은 사용자 이름과 암호를 전달하여 발생합니다. 사용자 이름과 암호를 전달하면 ID 페더레이션을 사용하는 이점이 일부 손상됩니다. 암호가 vCenter Server(및 스크립트)에 노출되기 때문입니다. 가능한 경우 토큰 기반 인증으로 마이그레이션을 고려해 보십시오.

vCenter Server 관리 인터페이스

사용자가 관리자 그룹의 멤버인 경우 vCenter Server 관리 인터페이스(이전 이름: vCenter Server Appliance 관리 인터페이스 또는 VAMI)에 대한 액세스가 지원됩니다.

AD FS 로그인 페이지에서 사용자 이름 텍스트 입력

AD FS 로그인 페이지는 사용자 이름 텍스트 상자를 미리 채우는 텍스트 전달을 지원하지 않습니다. 따라서 AD FS를 통한 페더레이션 로그인 중에 vCenter Server 랜딩 페이지에 사용자 이름을 입력하고 AD FS 로그인 페이지로 리디렉션한 후 AD FS 로그인 페이지에 사용자 이름을 다시 입력해야 합니다. vCenter Server 랜딩 페이지에 입력하는 사용자 이름은 로그인을 적절한 ID 공급자로 리디렉션하는 데 필요하며, AD FS 로그인 페이지의 사용자 이름은 AD FS로 인증하는 데 필요합니다. 사용자 이름을 AD FS 로그인 페이지에 전달할 수 없는 것은 AD FS의 제한 사항입니다. 이러한 동작은 vCenter Server에서 직접 구성하거나 변경할 수 없습니다.