vSphere 8.0 업데이트 1을 설치하거나 이 버전으로 업그레이드한 후 PingFederate에 대한 vCenter Server ID 제공자 페더레이션을 외부 ID 제공자로 구성할 수 있습니다.

vCenter Server는 구성된 외부 ID 제공자(하나의 소스)와 vsphere.local ID 소스(로컬 소스)를 하나만 지원합니다. 외부 ID 제공자를 여러 개 사용할 수 없습니다. vCenter Server ID 제공자 페더레이션은 OIDC(OpenID Connect)를 사용하여 사용자가 vCenter Server에 로그인되도록 합니다.

vCenter Server에서 전역 또는 개체 사용 권한을 통해 PingFederate 그룹 및 사용자를 사용하여 권한을 구성할 수 있습니다. 사용 권한 추가에 대한 자세한 내용은 "vSphere 보안" 설명서를 참조하십시오.

사전 요구 사항

PingFederate OpenID Connect 애플리케이션에서 다음 정보가 있는지 확인합니다.
  • 클라이언트 식별자
  • 클라이언트 암호(vSphere Client에서 공유 암호로 표시됨)
  • Active Directory 도메인 정보 또는 Active Directory를 실행하지 않는 경우 PingFederate 도메인 정보

프로시저

  1. vCenter Server에서 ID 제공자를 생성하려면 다음을 수행합니다.
    1. vSphere Client를 사용하여 vCenter Server에 관리자로 로그인합니다.
    2. > 관리 > Single Sign-On > 구성으로 이동합니다.
    3. 제공자 변경을 클릭하고 PingFederate를 선택합니다.
      기본 ID 제공자 구성 마법사가 열립니다.
    4. 사전 요구 사항 패널에서 PingFederate 및 vCenter Server 및 기타 요구 사항을 검토합니다.
    5. 사전 검사 실행을 클릭합니다.
      사전 검사에서 오류가 발견되면 세부 정보 보기를 클릭하고 표시된 대로 오류를 해결하는 단계를 수행합니다.
    6. 사전 검사가 통과되면 확인란을 클릭하고 다음을 클릭합니다.
    7. 디렉토리 정보 패널에서 다음 정보를 입력합니다.
      • 디렉토리 이름: PingFederate에서 푸시된 사용자 및 그룹을 저장하는 vCenter Server에 생성할 로컬 디렉토리의 이름입니다. 예: vcenter-PingFederate-directory.
      • 도메인 이름: vCenter Server와 동기화하려는 PingFederate 사용자 및 그룹이 포함된 PingFederate 도메인 이름을 입력합니다.

        PingFederate 도메인 이름을 입력한 후 더하기 아이콘(+)을 클릭하여 추가합니다. 여러 도메인 이름을 입력하는 경우 기본 도메인을 지정합니다.

    8. 다음을 클릭합니다.
    9. OpenID Connect 패널에서 다음 정보를 입력합니다.
      • 리디렉션 URI: 자동으로 채워집니다. 이 리디렉션 UI는 PingFederate에서 OpenID Connect 애플리케이션을 생성하는 데 사용하는 것과 일치해야 합니다.
      • ID 제공자 이름: PingFederate로 자동 입력됩니다.
      • 클라이언트 식별자: OpenID Connect 애플리케이션을 생성할 때 확보됩니다. (PingFederate에서는 클라이언트 식별자를 클라이언트 ID라고 합니다.)
      • 공유 암호: PingFederate에서 OpenID Connect 애플리케이션을 생성할 때 확보됩니다. (PingFederate에서는 공유 암호를 클라이언트 암호라고 합니다.)
      • OpenID 주소: https://PingFederate_domain_space/idp/.well-known/openid-configuration 형식을 사용합니다.

        예를 들어, PingFederate 도메인 공간이 example.PingFederate.com인 경우 OpenID 주소는 https://example.PingFederate.com/idp/.well-known/openid-config입니다.

      • SSL 인증서: 필요한 경우 PingFederate SSL 인증서 또는 인증서 체인(이 인증서가 잘 알려진 공용 CA(인증 기관)에서 발급되지 않은 경우)을 찾아 vCenter Server에 업로드합니다. PingFederate SSL 인증서를 내보내려면 관리 콘솔에서 보안 > SSL 서버 인증서로 이동하여 기본 인증서를 선택한 다음, 작업 선택 드롭다운에서 내보내기를 선택합니다. 자세한 내용은 https://docs.pingidentity.com/r/en-us/pingfederate-111/nfv1585678806463에서 인증서 내보내기 항목을 참조하세요. vCenter Server 구성에 필요하지 않으므로 개인 키 없이 PingFederate SSL 인증서를 내보낼 수 있습니다.
    10. 다음을 클릭합니다.
    11. 정보를 검토하고 마침을 클릭합니다.
      vCenter Server는 PingFederate ID 제공자를 생성하고 구성 정보를 표시합니다.
  2. 사용자 프로비저닝에서 생성을 클릭하여 비밀 토큰을 생성하고 드롭다운에서 토큰 수명 기간을 선택한 다음, 클립보드에 복사를 클릭합니다. 토큰을 안전한 위치에 저장합니다.
    PingFederate SP 연결(SCIM 애플리케이션)을 생성할 때 토큰을 사용하여 PingFederate 사용자 및 그룹을 VMware Identity Services로 동기화합니다.

다음에 수행할 작업

SCIM 애플리케이션(SP 연결) 생성으로 계속 진행합니다.