vCenter Server ID 제공자 페더레이션

vSphere 7.0 이상에서는 vCenter Server가 vCenter Server에 로그인하기 위한 페더레이션된 인증을 지원합니다.

vCenter Server에 대한 페더레이션된 인증을 사용하도록 설정하려면 외부 ID 제공자에 대한 연결을 구성합니다. 구성하는 ID 제공자 인스턴스가 vCenter Server를 ID 제공자로 바꿉니다. 현재 vCenter Server는 외부 ID 제공자로 AD FS(Active Directory 페더레이션 서비스), Okta, Microsoft Entra ID(이전 명칭: Azure AD) 및 PingFederate를 지원합니다. vCenter Server는 vSphere 7.0 이상에서 AD FS를, vSphere 8.0 업데이트 1 이상에서 Okta를, vSphere 8.0 업데이트 2 이상에서 Microsoft Entra ID를, vSphere 8.0 업데이트 3부터 PingFederate를 지원합니다.

참고: vSphere에서 토큰 기반 인증으로 전환하고 있으므로 페더레이션된 인증을 사용하는 것이 좋습니다. vCenter Server는 관리 액세스 및 오류 복구를 위해 계속 로컬 계정을 보유합니다.

vCenter Server ID 제공자 페더레이션의 작동 방식

vCenter Server ID 제공자 페더레이션을 사용하면 페더레이션된 인증에 대해 외부 ID 제공자를 구성할 수 있습니다. 이 구성에서 외부 ID 제공자는 vCenter Server를 대신하여 ID 소스와 상호 작용합니다.

vCenter Server ID 제공자 페더레이션 기본 사항

vSphere 7.0 이상에서 vCenter Server는 페더레이션된 인증을 지원합니다. 이 시나리오에서 사용자가 vCenter Server에 로그인하면 vCenter Server가 사용자 로그인을 외부 ID 제공자로 리디렉션합니다. 사용자 자격 증명은 더 이상 vCenter Server에 직접 제공되지 않습니다. 대신 사용자가 외부 ID 제공자에 자격 증명을 제공합니다. vCenter Server는 외부 ID 제공자를 신뢰하여 인증을 수행합니다. 페더레이션 모델에서 사용자는 ID 제공자 외에 어떤 서비스 또는 애플리케이션에도 자격 증명을 직접 제공하지 않습니다. 따라서 애플리케이션 및 서비스(예: vCenter Server)를 ID 제공자와 "페더레이션"합니다.

vCenter Server 외부 ID 제공자 지원

vCenter Server는 다음과 같은 외부 ID 제공자를 지원합니다.

AD FS(vSphere 7.0 이상)
Okta(vSphere 8.0 업데이트 1 이상)
Microsoft Entra ID(이전 이름: Azure AD)(vSphere 8.0 업데이트 2 이상)
PingFederate(vSphere 8.0 업데이트 3부터)

vCenter Server ID 제공자 페더레이션 이점

vCenter Server ID 제공자 페더레이션은 다음과 같은 이점을 제공합니다.

기존의 페더레이션된 인프라 및 애플리케이션에서 Single Sign-On을 사용할 수 있습니다.
vCenter Server에서 사용자의 자격 증명을 처리하지 않으므로 데이터 센터 보안을 향상시킬 수 있습니다.
외부 ID 제공자가 지원하는 인증 메커니즘(예: 다단계 인증)을 사용할 수 있습니다.

vCenter Server ID 제공자 페더레이션 아키텍처

vCenter Server와 외부 ID 제공자 간 당사자 신뢰를 설정하려면 서로 간에 식별 정보 및 공유 암호를 설정해야 합니다. vCenter Server는 OIDC(OpenID Connect) 프로토콜을 사용하여 vCenter Server로 사용자를 인증하는 ID 토큰을 수신합니다.

vCenter Server를 사용하여 외부 ID 제공자를 구성하는 개략적인 단계는 다음과 같습니다.

OIDC 구성을 생성하여 vCenter Server와 외부 ID 제공자 간에 신뢰 당사자 트러스트를 설정합니다. AD FS의 경우 애플리케이션 그룹 또는 애플리케이션을 생성합니다. Okta, Microsoft Entra ID 및 PingFederate의 경우 OpenID Connect를 로그온 방법으로 사용하여 네이티브 애플리케이션을 생성합니다. OIDC 구성은 서버 애플리케이션과 웹 API로 구성됩니다. 이 두 구성 요소는 외부 ID 제공자를 신뢰하고 통신하기 위해 vCenter Server에서 사용하는 정보를 지정합니다.
vCenter Server에서 해당 ID 제공자를 생성합니다.
외부 ID 제공자 도메인 사용자의 로그인을 인증하도록 vCenter Server에서 그룹 멤버 자격을 구성합니다.

ID 제공자 관리자는 vCenter Server ID 제공자 구성을 생성하기 위해 다음 정보를 제공해야 합니다.

클라이언트 식별자: 애플리케이션 그룹(또는 애플리케이션)을 생성할 때 AD FS에서 생성되고 애플리케이션 그룹(또는 애플리케이션)을 식별하거나 OpenID Connect 애플리케이션을 생성할 때 Okta, Microsoft Entra ID 또는 PingFederate에서 생성되는 UUID 문자열입니다.
공유 암호: 애플리케이션 그룹(또는 애플리케이션)을 생성할 때 AD FS에서 생성되거나 OpenID Connect 애플리케이션을 생성할 때 Okta, Microsoft Entra ID 또는 PingFederate에서 생성되고 외부 ID 제공자로 vCenter Server를 인증하는 데 사용되는 암호입니다.
OpenID 주소: 외부 ID 제공자 서버의 OpenID 제공자 검색 끝점 URL이며, 잘 알려진 주소를 지정합니다(일반적으로 발급자 끝점에 "/.well-known/openid-configuration" 경로 연결). 다음은 AD FS 구성에 대한 OpenID 주소 예시입니다.
```
https://webserver.example.com/adfs/.well-known/openid-configuration
```
마찬가지로 Okta 구성에 대한 OpenID 주소 예시는 다음과 같습니다.
```
https://example.okta.com/oauth2/default/.well-known/openid-configuration
```
다음은 Microsoft Entra ID 구성에 대한 OpenID 주소 예시입니다.
```
https://login.microsoftonline.com/11111111-2222-3333-4444-555555555555/v2.0/.well-known/openid-configuration
```
다음은 PingFederate 구성에 대한 OpenID 주소 예시입니다.
```
https://pingfederate-fqdn-and-port/.well-known/openid-configuration
```

VMware Identity Services 및 페더레이션된 인증

vSphere 8.0 업데이트 1 이상에서 VMware Identity Services는 페더레이션된 ID 제공자로서 외부 ID 제공자와의 통합을 제공합니다. VMware Identity Services는 vSphere에 기본 제공되는 VMware Workspace ONE의 "축소된" 버전으로 생각할 수 있습니다.

vSphere 8.0 업데이트 1 이상을 설치하거나 이 버전으로 업그레이드하는 경우 vCenter Server에서 VMware Identity Services가 기본적으로 활성화됩니다. Okta, Microsoft Entra ID 또는 PingFederate를 외부 ID 제공자로 구성하면 vCenter Server는 VMware Identity Services를 사용하여 Okta, Microsoft Entra ID 또는 PingFederate 서버와 통신합니다.

vCenter Server는 고급 연결 모드 구성에서 Okta, Microsoft Entra ID 및 PingFederate를 외부 ID 제공자로 지원합니다. 고급 연결 모드 구성에서는 여러 vCenter Server 시스템이 VMware Identity Services를 실행하더라도 단일 vCenter Server 및 해당 VMware Identity Services만 외부 ID 제공자 서버와 통신합니다. 예를 들어, 3개의 vCenter Server 시스템(A, B, C)의 고급 연결 모드 구성이 있고 vCenter Server A에서 Okta 외부 ID 제공자를 구성하는 경우 모든 Okta 로그인을 처리하는 유일한 시스템은 vCenter Server A입니다. vCenter Server B 및 vCenter Server C는 Okta 서버와 직접 통신하지 않습니다. 외부 IDP 서버와 상호 작용하도록 ELM 구성의 다른 vCenter Server에서 VMware Identity Services를 구성하려면 고급 연결 모드 구성의 외부 ID 제공자에 대한 활성화 프로세스 항목을 참조하십시오.

참고: Okta를 외부 ID 제공자로 구성할 때 고급 연결 모드 구성의 모든 vCenter Server 시스템은 vSphere 8.0 업데이트 1 이상을 실행해야 합니다. Microsoft Entra ID의 경우 요구 사항은 vSphere 8.0 업데이트 2 이상입니다. PingFederate의 경우 요구 사항은 vSphere 8.0 업데이트 3 이상입니다.

경고: Okta, Microsoft Entra ID 또는 PingFederate에서 고급 연결 모드 구성을 사용하는 경우 VMware Identity Services를 실행하고 ID 제공자와 통신하는 vCenter Server를 ELM 구성에서 제거할 수 없습니다.

VMware Identity Services 인증 프로세스

VMware Identity Services를 사용하여 외부 ID 제공자와 통신하도록 vCenter Server를 구성하면 다음 인증 프로세스가 발생합니다.

사용자가 vSphere Client를 사용하여 vCenter Server에 로그인합니다.
vCenter Single Sign-On는 사용자 인증을 위임하고 사용자 요청을 VMware Identity Services로 리디렉션합니다.
VMware Identity Services 프로세스는 사용자 세션을 설정하기 위해 외부 ID 제공자의 토큰을 요청합니다.
외부 ID 제공자는 사용자를 인증하고(MFA(다단계 인증) 또는 SSO 자격 증명을 사용할 수 있음) 토큰을 VMware Identity Services에 반환합니다.
토큰에는 사용자 클레임이 포함됩니다.
VMware Identity Services 프로세스는 ID 제공자 토큰의 유효성을 검사하고 해당 VMware Identity Services 토큰을 생성하며 VMware Identity Services 토큰을 vCenter Single Sign-On으로 보냅니다.
vCenter Single Sign-On은 토큰의 유효성을 검사하고 로그인 요청을 승인합니다.

참고: AD FS는 페더레이션된 인증에 VMware Identity Services를 사용하지 않습니다.

vCenter Server가 SCIM에서 푸시한 사용자 및 그룹과 상호 작용하는 방법

외부 ID 제공자를 구성하면 vCenter Server는 사용자 및 그룹 관리를 위해 SCIM(System for Cross-domain Identity Management)을 사용합니다. SCIM은 사용자 ID 정보 교환을 자동화하기 위한 개방형 표준입니다. 외부 IDP 서버에서 생성한 SCIM 애플리케이션은 vCenter Server로 푸시하려는 외부 ID 제공자의 사용자 및 그룹을 관리합니다. vCenter Server는 사용자 및 그룹을 검색하여 vCenter Server 개체에 대한 사용 권한을 할당할 때도 SCIM을 사용합니다.

참고: AD FS 구성은 LDAP를 사용하여 Active Directory를 검색합니다. SCIM을 사용하지 않습니다.

vCenter Server ID 제공자 페더레이션 구성 요소

다음 구성 요소는 vCenter Server ID 제공자 페더레이션 구성에 포함됩니다.

vCenter Server
- AD FS: vCenter Server 7.0 이상
- Okta: vCenter Server 8.0 업데이트 1 이상
- Microsoft Entra ID: vCenter Server 8.0 업데이트 2 이상
- PingFederate: vCenter Server 8.0 업데이트 3
vCenter Server에서 구성된 ID 제공자 서비스
외부 ID 제공자(AD FS, Okta, Microsoft Entra ID 또는 PingFederate)
OIDC(OpenID Connect) 구성:
- AD FS: 애플리케이션 그룹(애플리케이션이라고도 함)
- Okta, Microsoft Entra ID 또는 PingFederate: OpenID Connect 애플리케이션
사용자 및 그룹 관리를 위한 SCIM(System for Cross-domain Identity Management) 애플리케이션(Okta, Microsoft Entra ID 또는 PingFederate에만 해당)
vCenter Server 그룹 및 사용자에 매핑되는 외부 ID 제공자 그룹 및 사용자
vCenter Server에서 사용하도록 설정된 VMware Identity Services(Okta, Microsoft Entra ID 또는 PingFederate에만 해당)
필요한 경우 PingFederate 서버의 PingFederate, SSL 인증서 또는 인증서 체인(잘 알려진 공용 인증 기관에서 이 인증서를 발급하지 않은 경우). PingFederate SSL 인증서를 vCenter Server로 가져옵니다.

vCenter Server ID 제공자 페더레이션 주의 사항 및 상호 운용성

vCenter Server ID 제공자 페더레이션은 다른 많은 VMware 기능과 상호 운용할 수 있습니다.

vCenter Server ID 제공자 페더레이션 전략을 계획할 때는 상호 운용성 제한 사항을 고려해야 합니다.

인증 메커니즘

vCenter Server ID 제공자 페더레이션 구성에서 외부 ID 제공자는 인증 메커니즘(암호, MFA, 생체 인식 등)을 처리합니다.

AD FS 및 단일 Active Directory 도메인 지원

AD FS에 대한 vCenter Server ID 제공자 페더레이션을 구성할 때 [기본 ID 제공자 구성] 마법사에 vCenter Server에 액세스하려는 사용자 및 그룹이 포함된 단일 AD 도메인에 대한 LDAP 정보를 입력하라는 메시지가 표시됩니다. vCenter Server는 마법사에 지정한 사용자 기반 DN에서 권한 부여 및 사용 권한에 사용할 AD 도메인을 파생합니다. 이 AD 도메인의 사용자 및 그룹에 대해서만 vSphere 개체에 대한 사용 권한을 추가할 수 있습니다. AD 하위 도메인 또는 AD 포리스트의 다른 도메인에 있는 사용자 또는 그룹은 vCenter Server ID 제공자 페더레이션에서 지원되지 않습니다.

Okta, Microsoft Entra ID 및 PingFederate의 여러 도메인 지원

Okta, Microsoft Entra ID 또는 PingFederate에 대한 vCenter Server ID 제공자 페더레이션을 구성할 때 [기본 ID 제공자 구성] 마법사를 사용하여 vCenter Server에 액세스하려는 사용자 및 그룹이 포함된 여러 도메인에 대한 LDAP 정보를 입력할 수 있습니다.

암호, 잠금 및 토큰 정책

vCenter Server가 ID 제공자 역할을 하는 경우 기본 도메인(vsphere.local 또는 vSphere 설치 시 입력한 도메인 이름)에 대한 vCenter Server 암호, 잠금 및 토큰 정책을 제어합니다. vCenter Server에서 페더레이션 인증을 사용하면, 외부 ID 제공자가 Active Directory와 같은 ID 소스에 저장된 계정에 대한 암호, 잠금 및 토큰 정책을 제어합니다.

감사 및 규정 준수

vCenter Server ID 제공자 페더레이션을 사용하는 경우 vCenter Server는 성공적인 사용자 로그인을 위해 로그 항목을 계속 생성합니다. 하지만, 실패한 암호 입력 시도 및 사용자 계정 잠금과 같은 작업의 추적 및 로깅은 외부 ID 제공자가 담당합니다. vCenter Server는 이러한 이벤트가 vCenter Server에 더 이상 보이지 않기 때문에 기록하지 않습니다. 예를 들어 AD FS가 ID 제공자인 경우 AD FS가 페더레이션 로그인에 대한 오류를 추적하고 기록합니다. vCenter Server가 로컬 로그인에 대한 ID 제공자이면, vCenter Server가 로컬 로그인에 대한 오류를 추적하고 기록합니다. 페더레이션된 구성에서 vCenter Server는 로그인 후에 사용자 작업을 계속 기록합니다.

외부 ID 제공자와 기존 VMware 제품 통합

vCenter Server와 통합된 VMware 제품(예: VMware Aria Operations, vSAN, NSX 등)은 이전처럼 계속 작동합니다.

로그인 후 통합 제품

로그인 후 통합하는 제품(즉, 별도의 로그인이 필요하지 않음)은 이전처럼 계속 작동합니다.

API, SDK 및 CLI 액세스를 위한 간단한 인증

단순 인증(즉, 사용자 이름 및 암호)을 사용하는 API, SDK 또는 CLI 명령에 의존하는 기존 스크립트, 제품 및 기타 기능은 계속 이전처럼 작동합니다. 내부적으로 인증은 사용자 이름과 암호를 전달하여 발생합니다. 사용자 이름과 암호를 전달하면 ID 페더레이션을 사용하는 이점이 일부 손상됩니다. 암호가 vCenter Server(및 스크립트)에 노출되기 때문입니다. 가능한 경우 토큰 기반 인증으로 마이그레이션을 고려해 보십시오.

vCenter Server 관리 인터페이스 액세스

사용자가 vCenter Server 관리자 그룹의 멤버인 경우 vCenter Server 관리 인터페이스(이전 이름: vCenter Server Appliance 관리 인터페이스 또는 VAMI)에 대한 액세스가 지원됩니다.

AD FS 로그인 페이지에서 사용자 이름 텍스트 입력

AD FS 로그인 페이지는 사용자 이름 텍스트 상자를 미리 채우는 텍스트 전달을 지원하지 않습니다. 따라서 AD FS를 통한 페더레이션 로그인 중에 vCenter Server 랜딩 페이지에 사용자 이름을 입력하고 AD FS 로그인 페이지로 리디렉션한 후 AD FS 로그인 페이지에 사용자 이름을 다시 입력해야 합니다. vCenter Server 랜딩 페이지에 입력하는 사용자 이름은 로그인을 적절한 ID 공급자로 리디렉션하는 데 필요하며, AD FS 로그인 페이지의 사용자 이름은 AD FS로 인증하는 데 필요합니다. 사용자 이름을 AD FS 로그인 페이지에 전달할 수 없는 것은 AD FS의 제한 사항입니다. 이러한 동작은 vCenter Server에서 직접 구성하거나 변경할 수 없습니다.

IPv6 주소 지원

AD FS, Microsoft Entra ID 및 PingFederate는 IPv6주소를 지원합니다. Okta는 IPv6 주소를 지원하지 않습니다.

VMware Identity Services 단일 인스턴스 구성

기본적으로 vSphere 8.0 업데이트 1 이상을 설치하거나 vSphere 8.0 업데이트 1 이상으로 업그레이드하면 vCenter Server에서 VMware Identity Services가 사용되도록 설정됩니다. 고급 연결 모드 구성에서 Okta, Microsoft Entra ID 또는 PingFederate를 구성하는 경우 단일 vCenter Server 시스템에서 VMware Identity Services를 사용합니다. 예를 들어 3개의 vCenter Server 시스템으로 구성된 고급 연결 모드 구성에서 Okta를 사용하는 경우, VMware Identity Services 인스턴스 중 하나의 vCenter Server만 Okta 서버와 통신하는 데 사용됩니다.

경고:

VMware Identity Services를 사용하는 ELM 구성에서 외부 ID 제공자와 통신하는 vCenter Server 시스템을 사용할 수 없게 되면 ELM 구성의 다른 vCenter Server에서 VMware Identity Services를 구성하여 외부 IDP 서버와 상호 작용할 수 있습니다. 고급 연결 모드 구성의 외부 ID 제공자에 대한 활성화 프로세스의 내용을 참조하십시오.

기본 네트워크 식별자 재구성

vCenter Server의 PNID(기본 네트워크 식별자)를 재구성하려면 다음과 같이 외부 ID 제공자 구성을 업데이트해야 합니다.

AD FS: 새 리디렉션 URI를 AD FS 서버에 추가합니다.
Okta: Okta를 재구성합니다. Okta에 대한 vCenter Server ID 제공자 페더레이션 구성 항목을 참조하고 단계에 따라 vCenter Server에 ID 제공자를 생성합니다.
Microsoft Entra ID: Entra ID를 재구성합니다. Microsoft Entra ID에 대한 vCenter Server ID 제공자 페더레이션 구성 항목을 참조하고 단계에 따라 vCenter Server에 ID 제공자를 생성합니다.
PingFederate: PingFederate를 재구성합니다. PingFederate에 대한 vCenter Server ID 제공자 페더레이션 구성 항목을 참조하고 단계에 따라 vCenter Server에 ID 제공자를 생성합니다.

vCenter Server ID 제공자 페더레이션 수명 주기

vCenter Server ID 제공자 페더레이션의 수명 주기를 관리할 때 몇 가지 특정한 고려 사항이 있습니다.

다음과 같은 방법으로 vCenter Server ID 제공자 페더레이션 수명 주기를 관리할 수 있습니다.

Active Directory 사용에서 외부 ID 제공자로 마이그레이션

Active Directory를 vCenter Server의 ID 소스로 사용하는 경우 외부 ID 제공자 사용으로 마이그레이션하는 작업은 간단합니다. Active Directory 그룹 및 역할이 ID 제공자 그룹 및 역할과 일치하는 경우 추가 작업을 수행할 필요가 없습니다. 그룹 및 역할이 일치하지 않는 경우에는 몇 가지 추가 작업을 수행해야 합니다. vCenter Server가 도메인 멤버인 경우에는 도메인에서 제거하는 것이 좋습니다. ID 페더레이션에 필요하거나 사용되지 않기 때문입니다.

도메인 간 연결 대상 변경 및 마이그레이션

vCenter Server ID 제공자 페더레이션은 도메인 간 연결 대상 변경을 지원합니다. 즉, vCenter Server를 하나의 vSphere SSO 도메인에서 다른 도메인으로 옮길 수 있습니다. 연결 대상이 변경된 vCenter Server는 vCenter Server 시스템 또는 이것이 가리키는 시스템에서 복제된 ID 제공자 구성을 수신합니다.

일반적으로 다음 중 하나에 해당하지 않는 한, 도메인 간 연결 대상 변경에 대해 추가 ID 제공자 재구성을 수행할 필요가 없습니다.

연결 대상이 변경된 vCenter Server의 ID 제공자 구성이 이것이 가리키는 vCenter Server의 ID 제공자 구성과 다릅니다.
연결 대상이 변경된 vCenter Server가 ID 제공자 구성을 처음 수신합니다.

이러한 경우 몇 가지 추가 작업이 필요합니다. 예를 들어 AD FS의 경우 vCenter Server 시스템의 리디렉션 URI를 AD FS 서버의 해당 애플리케이션 그룹에 추가해야 합니다. 예를 들어 AD FS 애플리케이션 그룹 A가 있는 vCenter Server 1(또는 AD FS 구성 없음)이 AD FS 애플리케이션 그룹 B가 있는 vCenter Server 2로 연결 대상이 변경된 경우, vCenter Server 1의 리디렉션 URI를 애플리케이션 그룹 B에 추가해야 합니다.

사용자 및 그룹 동기화 및 vCenter Server 백업 및 복원

사용자 및 그룹을 vCenter Server와 동기화하는 시기와 vCenter Server를 백업하는 시기에 따라 vCenter Server를 복원해야 하는 경우 SCIM에서 푸시한 사용자 및 그룹을 다시 동기화해야 할 수도 있습니다.

삭제된 사용자 또는 그룹을 복원하려면 외부 ID 제공자에서 vCenter Server로 사용자나 그룹을 단지 푸시만 하면 안 됩니다. 누락된 사용자 또는 그룹으로 외부 ID 제공자의 SCIM 2.0 애플리케이션을 업데이트해야 합니다. 삭제된 SCIM 사용자 및 그룹 복원의 내용을 참조하십시오.