vSphere 8.0 업데이트 2 이상을 설치하거나 이 버전으로 업그레이드한 후 Microsoft Entra ID(이전 이름: Azure AD)에 대한 vCenter Server ID 제공자 페더레이션을 외부 ID 제공자로 구성할 수 있습니다.

vCenter Server는 구성된 외부 ID 제공자(하나의 소스)와 vsphere.local ID 소스(로컬 소스)를 하나만 지원합니다. 외부 ID 제공자를 여러 개 사용할 수 없습니다. vCenter Server ID 제공자 페더레이션은 OIDC(OpenID Connect)를 사용하여 사용자가 vCenter Server에 로그인되도록 합니다.

vCenter Server에서 전역 또는 개체 사용 권한을 통해 Microsoft Entra ID 그룹 및 사용자를 사용하여 권한을 구성할 수 있습니다. 사용 권한 추가에 대한 자세한 내용은 "vSphere 보안" 설명서를 참조하십시오.

구성 워크스루에 대한 자세한 내용은 다음 비디오를 참조하십시오.

vCenter 인증: AzureAD/Entra ID 통합 | vSphere 8 업데이트 2

사전 요구 사항

Microsoft Entra ID 요구 사항:
  • Microsoft의 고객이며 Microsoft Entra ID 계정이 있습니다.
Microsoft Entra ID 연결 요구 사항:
  • OpenID Connect를 로그인 방법으로 사용하여 엔터프라이즈(비갤러리) 애플리케이션을 생성했습니다.
  • 권한 부여 코드, 새로 고침 토큰 및 리소스 소유자 암호를 생성된 애플리케이션에 권한 부여 유형으로 추가합니다.
  • 사용자 및 그룹 동기화의 경우 OAuth 2.0 Bearer 토큰을 사용하여 Microsoft Entra ID에서 SCIM 2.0 프로비저닝을 위한 VMware Identity Services Gallery 애플리케이션을 구성해야 합니다.
vCenter Server 요구 사항:
  • vSphere 8.0 업데이트 2 이상, VMware Identity Services가 활성화된 경우(기본적으로 활성화됨).
  • Microsoft Entra ID 소스를 생성하려는 vCenter Server에서 VMware Identity Services가 활성화되었는지 확인합니다.
  • ID 제공자의 사용자 및 그룹이 vCenter Server에 프로비저닝됩니다.
vSphere 권한 요구 사항:
  • 페더레이션 인증에 필요한 vCenter Server ID 제공자를 생성, 업데이트 또는 삭제하려면 VcIdentityProviders.Manage 권한이 있어야 합니다. 사용자가 ID 제공자 구성 정보를 볼 수만 있도록 제한하려면 VcIdentityProviders.Read 권한을 할당합니다.
고급 연결 모드 요구 사항:
  • 고급 연결 모드 구성에서 Microsoft Entra ID에 대한 vCenter Server ID 제공자 페더레이션을 구성할 수 있습니다. 고급 연결 모드 구성에서 Microsoft Entra ID를 구성하는 경우 단일 vCenter Server 시스템에서 VMware Identity Services를 사용하도록 Microsoft Entra ID 제공자를 구성합니다. 예를 들어 고급 연결 모드 구성이 두 개의 vCenter Server 시스템으로 구성된 경우 하나의 vCenter Server와 해당 VMware Identity Services 인스턴스만 Microsoft Entra ID 서버와 통신하는 데 사용됩니다. 이 vCenter Server 시스템을 사용할 수 없게 되면 ELM 구성의 다른 vCenter Server에서 VMware Identity Services를 구성하여 Microsoft Entra ID 서버와 상호 작용할 수 있습니다. 자세한 내용은 고급 연결 모드 구성의 외부 ID 제공자에 대한 활성화 프로세스의 내용을 참조하십시오.
  • Microsoft Entra ID를 외부 ID 제공자로 구성할 때 고급 연결 모드 구성의 모든 vCenter Server 시스템은 vSphere 8.0 업데이트 2 이상을 실행해야 합니다.
네트워킹 요구 사항:
  • 네트워크를 공개적으로 사용할 수 없는 경우 vCenter Server 시스템과 Microsoft Entra ID 서버 사이에 네트워크 터널을 생성한 다음, 공개적으로 액세스할 수 있는 적절한 URL을 기본 URI로 사용해야 합니다.

프로시저

  1. Microsoft Entra ID에서 OpenID Connect 애플리케이션을 생성하고 OpenID Connect 애플리케이션에 그룹 및 사용자를 할당합니다.
    OpenID Connect 애플리케이션을 생성하고 그룹 및 사용자를 할당하려면 https://kb.vmware.com/s/article/94182에서 VMware 기술 자료 문서를 참조하십시오. "OpenID Connect 애플리케이션 생성" 섹션의 단계를 따르십시오. OpenID Connect 애플리케이션을 생성한 후 다음 단계에서 vCenter Server ID 제공자를 구성할 때 사용할 수 있도록 Microsoft Entra ID OpenID Connect 애플리케이션의 다음 정보를 파일에 복사합니다.
    • 클라이언트 식별자
    • 클라이언트 암호(vSphere Client에서 공유 암호로 표시됨).
    • Active Directory 도메인 정보 또는 Microsoft Entra ID 도메인 정보(Active Directory를 실행하지 않는 경우).
  2. vCenter Server에서 ID 제공자를 생성하려면 다음을 수행합니다.
    1. vSphere Client를 사용하여 vCenter Server에 관리자로 로그인합니다.
    2. > 관리 > Single Sign On > 구성으로 이동합니다.
    3. 제공자 변경을 클릭하고 Microsoft Entra ID를 선택합니다.
      기본 ID 제공자 구성 마법사가 열립니다.
    4. 사전 요구 사항 패널에서 Microsoft Entra ID 및 vCenter Server 요구 사항을 검토합니다.
    5. 사전 검사 실행을 클릭합니다.
      사전 검사에서 오류가 발견되면 세부 정보 보기를 클릭하고 표시된 대로 오류를 해결하는 단계를 수행합니다.
    6. 사전 검사가 통과되면 확인란을 클릭하고 다음을 클릭합니다.
    7. 디렉토리 정보 패널에서 다음 정보를 입력합니다.
      • 디렉토리 이름: Microsoft Entra ID에서 푸시된 사용자 및 그룹을 저장하는 vCenter Server에 생성할 로컬 디렉토리의 이름입니다. 예: vcenter-entraid-directory.
      • 도메인 이름: vCenter Server와 동기화하려는 Microsoft Entra ID 사용자 및 그룹이 포함된 Microsoft Entra ID 도메인 이름을 입력합니다.

        Microsoft Entra ID 도메인 이름을 입력한 후 더하기 아이콘(+)을 클릭하여 추가합니다. 여러 도메인 이름을 입력하는 경우 기본 도메인을 지정합니다.

    8. 다음을 클릭합니다.
    9. OpenID Connect 패널에서 다음 정보를 입력합니다.
      • 리디렉션 URI: 자동으로 채워집니다. OpenID Connect 애플리케이션을 생성하는 데 사용할 리디렉션 UI를 Microsoft Entra ID 관리자에게 제공합니다.
      • ID 제공자 이름: Microsoft Entra ID로 자동 입력됩니다.
      • 클라이언트 식별자: 1단계에서 Microsoft Entra ID에서 OpenID Connect 애플리케이션을 생성할 때 확보합니다. (Microsoft Entra ID는 클라이언트 식별자를 클라이언트 ID라고 합니다.)
      • 공유 암호: 1단계에서 Microsoft Entra ID에서 OpenID Connect 애플리케이션을 생성할 때 확보합니다. (Microsoft Entra ID는 공유 암호를 클라이언트 암호라고 합니다.)
      • OpenID 주소: https://Microsoft Entra ID domain space/oauth2/default/.well-known/openid-configuration 형식을 사용합니다.

        예를 들어 Microsoft Entra ID 도메인 공간이 example.EntraID.com인 경우 OpenID 주소는 https://example.EntraID.com/oauth2/default/.well-known/openid-configuration입니다.

    10. 다음을 클릭합니다.
    11. 정보를 검토하고 마침을 클릭합니다.
      vCenter Server는 Microsoft Entra ID라는 ID 제공자를 생성하고 구성 정보를 표시합니다.
    12. 필요한 경우 아래로 스크롤하여 리디렉션 URI에 대한 복사 아이콘을 클릭하고 파일에 저장합니다.
      Microsoft Entra ID OpenID Connect 애플리케이션에서 리디렉션 URI를 사용합니다.
    13. 테넌트 URL에 대한 복사 아이콘을 클릭하고 파일에 저장합니다.
      참고: 네트워크를 공개적으로 사용할 수 없는 경우 vCenter Server 시스템과 Microsoft Entra ID 서버 사이에 네트워크 터널을 생성해야 합니다. 네트워크 터널을 생성한 후 공개적으로 액세스할 수 있는 적절한 URL을 기본 URI로 사용합니다.
    14. 사용자 프로비저닝에서 생성을 클릭하여 비밀 토큰을 생성하고 드롭다운에서 토큰 수명 기간을 선택한 다음, 클립보드에 복사를 클릭합니다. 토큰을 안전한 위치에 저장합니다.
      Microsoft Entra ID SCIM 2.0 애플리케이션에서 테넌트 URL 및 토큰을 사용합니다. Microsoft Entra ID SCIM 2.0 애플리케이션은 토큰을 사용하여 Microsoft Entra ID 사용자 및 그룹을 VMware Identity Services로 동기화합니다. 이 정보는 Microsoft Entra ID 사용자 및 그룹을 Microsoft Entra ID에서 vCenter Server로 푸시하는 데 필요합니다.
  3. VMware 기술 자료 문서(https://kb.vmware.com/s/article/94182)로 Microsoft Entra ID 리디렉션 URI를 업데이트합니다.
    "Azure AD 리디렉션 URI 업데이트" 섹션의 단계를 따릅니다.
  4. SCIM 2.0 애플리케이션을 생성하려면 VMware 기술 자료 문서(https://kb.vmware.com/s/article/94182)를 계속 참조하십시오.
    "SCIM 2.0 애플리케이션 생성 및 사용자 및 그룹을 vCenter Server에 푸시" 섹션의 단계를 따릅니다.
    기술 자료 문서에 설명된 대로 SCIM 2.0 애플리케이션 생성이 완료되면 다음 단계를 계속 진행합니다.
  5. Microsoft Entra ID 인증을 위해 vCenter Server에서 그룹 멤버 자격을 구성합니다.
    Microsoft Entra ID 사용자가 vCenter Server에 로그인하려면 먼저 그룹 멤버 자격을 구성해야 합니다.
    1. vSphere Client에서 로컬 관리자로 로그인한 상태에서 관리 > Single Sign On > 사용자 및 그룹으로 이동합니다.
    2. 그룹 탭을 클릭합니다.
    3. 관리자 그룹을 클릭하고 멤버 추가를 클릭합니다.
    4. 드롭다운 메뉴에서 추가하려는 Microsoft Entra ID 그룹의 도메인 이름을 선택합니다.
    5. 드롭다운 메뉴 아래의 텍스트 상자에 추가하려는 Microsoft Entra ID 그룹의 처음 몇 자를 입력한 다음, 드롭다운 선택 항목이 나타날 때까지 기다립니다.
    6. Microsoft Entra ID 그룹을 선택하고 관리자 그룹에 추가합니다.
    7. 저장을 클릭합니다.
  6. Microsoft Entra ID 사용자로 vCenter Server에 로그인되는지 확인합니다.
  7. Microsoft Entra ID 사용자에게 인벤토리 수준 및 글로벌 사용 권한을 할당하려면 "vSphere 보안" 설명서에서 vCenter Server 구성 요소에 대한 사용 권한 관리에 대한 항목을 참조하십시오.