vSphere 8.0 업데이트 2 이상을 설치하거나 이 버전으로 업그레이드한 후 Microsoft Entra ID(이전 이름: Azure AD)에 대한 vCenter Server ID 제공자 페더레이션을 외부 ID 제공자로 구성할 수 있습니다.
vCenter Server는 구성된 외부 ID 제공자(하나의 소스)와 vsphere.local ID 소스(로컬 소스)를 하나만 지원합니다. 외부 ID 제공자를 여러 개 사용할 수 없습니다. vCenter Server ID 제공자 페더레이션은 OIDC(OpenID Connect)를 사용하여 사용자가 vCenter Server에 로그인되도록 합니다.
vCenter Server에서 전역 또는 개체 사용 권한을 통해 Microsoft Entra ID 그룹 및 사용자를 사용하여 권한을 구성할 수 있습니다. 사용 권한 추가에 대한 자세한 내용은 "vSphere 보안" 설명서를 참조하십시오.
구성 워크스루에 대한 자세한 내용은 다음 비디오를 참조하십시오.
사전 요구 사항
Microsoft Entra ID 요구 사항:
- Microsoft의 고객이며 Microsoft Entra ID 계정이 있습니다.
- OpenID Connect를 로그인 방법으로 사용하여 엔터프라이즈(비갤러리) 애플리케이션을 생성했습니다.
- 권한 부여 코드, 새로 고침 토큰 및 리소스 소유자 암호를 생성된 애플리케이션에 권한 부여 유형으로 추가합니다.
- 사용자 및 그룹 동기화의 경우 OAuth 2.0 Bearer 토큰을 사용하여 Microsoft Entra ID에서 SCIM 2.0 프로비저닝을 위한 VMware Identity Services Gallery 애플리케이션을 구성해야 합니다.
- vSphere 8.0 업데이트 2 이상, VMware Identity Services가 활성화된 경우(기본적으로 활성화됨).
- Microsoft Entra ID 소스를 생성하려는 vCenter Server에서 VMware Identity Services가 활성화되었는지 확인합니다.
- ID 제공자의 사용자 및 그룹이 vCenter Server에 프로비저닝됩니다.
- 페더레이션 인증에 필요한 vCenter Server ID 제공자를 생성, 업데이트 또는 삭제하려면 VcIdentityProviders.Manage 권한이 있어야 합니다. 사용자가 ID 제공자 구성 정보를 볼 수만 있도록 제한하려면 VcIdentityProviders.Read 권한을 할당합니다.
- 고급 연결 모드 구성에서 Microsoft Entra ID에 대한 vCenter Server ID 제공자 페더레이션을 구성할 수 있습니다. 고급 연결 모드 구성에서 Microsoft Entra ID를 구성하는 경우 단일 vCenter Server 시스템에서 VMware Identity Services를 사용하도록 Microsoft Entra ID 제공자를 구성합니다. 예를 들어 고급 연결 모드 구성이 두 개의 vCenter Server 시스템으로 구성된 경우 하나의 vCenter Server와 해당 VMware Identity Services 인스턴스만 Microsoft Entra ID 서버와 통신하는 데 사용됩니다. 이 vCenter Server 시스템을 사용할 수 없게 되면 ELM 구성의 다른 vCenter Server에서 VMware Identity Services를 구성하여 Microsoft Entra ID 서버와 상호 작용할 수 있습니다. 자세한 내용은 고급 연결 모드 구성의 외부 ID 제공자에 대한 활성화 프로세스의 내용을 참조하십시오.
- Microsoft Entra ID를 외부 ID 제공자로 구성할 때 고급 연결 모드 구성의 모든 vCenter Server 시스템은 vSphere 8.0 업데이트 2 이상을 실행해야 합니다.
네트워킹 요구 사항:
- 네트워크를 공개적으로 사용할 수 없는 경우 vCenter Server 시스템과 Microsoft Entra ID 서버 사이에 네트워크 터널을 생성한 다음, 공개적으로 액세스할 수 있는 적절한 URL을 기본 URI로 사용해야 합니다.