고급 연결 모드를 사용하여 vCenter Server 환경에서 ID 제공자 페더레이션을 사용하도록 설정하면 인증 및 워크플로가 이전과 같이 계속 작동합니다.

고급 연결 모드 구성을 사용하는 경우 페더레이션된 인증을 사용하여 vCenter Server에 로그인할 때에는 다음에 유의하십시오.

  • 사용자는 vCenter Server 사용 권한 및 역할 모델을 기반으로 동일한 인벤토리를 계속 보고 동일한 작업을 수행할 수 있습니다.
  • 고급 연결 모드에서 vCenter Server 호스트는 서로의 ID 제공자에 액세스할 필요가 없습니다. 예를 들어 A와 B라는 두 개의 vCenter Server 시스템이 있고 고급 연결 모드를 사용 중이라고 가정합니다. vCenter Server A가 사용자에게 권한을 부여하면 이 사용자는 vCenter Server B에 대한 권한도 부여받습니다.

고급 링크 모드 및 AD FS

다음 그림에서는 고급 연결 모드로 AD FS를 사용할 때의 인증 워크플로를 보여 제공합니다.

그림 1. 고급 연결 모드 및 AD FS ID 제공자 페더레이션
이 그림은 vCenter Server 시스템이 고급 연결 모드를 사용하여 AD FS와 상호 작용하는 방법을 보여줍니다.
  1. 두 개의 vCenter Server 노드가 고급 연결 모드 구성에 배포되었습니다.
  2. vSphere Client에서 [ID 제공자 변경] 마법사를 사용하여 AD FS 설정이 vCenter Server A에 구성되었습니다. AD FS 사용자 또는 그룹에 대한 그룹 멤버 자격 및 사용 권한도 설정되었습니다.
  3. vCenter Server A가 AD FS 구성을 vCenter Server B에 복제합니다.
  4. 두 vCenter Server 노드의 모든 리디렉션 URI가 AD FS의 OAuth 애플리케이션 그룹에 추가됩니다. 하나의 OAuth 애플리케이션 그룹만 생성됩니다.
  5. 사용자가 vCenter Server A에 로그인하여 권한을 부여받으면 vCenter Server B에서도 권한이 부여됩니다. 사용자가 vCenter Server B에 먼저 로그인한 경우에도 마찬가지입니다.

AD FS를 사용하는 고급 연결 모드 구성 시나리오

vCenter Server 고급 연결 모드는 AD FS에 대해 다음과 같은 구성 시나리오를 지원합니다. 이 섹션에서 "AD FS 설정"과 "AD FS 구성"이라는 용어는 vSphere Client에서 [ID 제공자 변경] 마법사를 사용하여 구성하는 설정 및 AD FS 사용자 또는 그룹에 대해 설정한 그룹 멤버 자격 또는 사용자 권한을 의미합니다.

기존 고급 연결 모드 구성에서 AD FS 사용

개략적인 단계:

  1. 고급 연결 모드 구성에서 N개의 vCenter Server 노드를 배포합니다.
  2. 연결된 vCenter Server 노드 중 하나에 AD FS를 구성합니다.
  3. AD FS 구성이 모든 다른 (N-1)개 vCenter Server 노드로 복제됩니다.
  4. 모든 N개 vCenter Server 노드에 대한 리디렉션 URI를 AD FS에 구성된 OAuth 애플리케이션 그룹에 모두 추가합니다.

vCenter Server를 기존 고급 연결 모드 AD FS 구성에 연결

개략적인 단계:

  1. (사전 요구 사항) vCenter Server N개 노드 고급 연결 모드 구성에서 AD FS를 설정합니다.
  2. 독립적인 새 vCenter Server 노드를 배포합니다.
  3. N개 노드 중 하나를 복제 파트너로 사용하여 새 vCenter Server의 연결 대상을 N개 노드 AD FS 고급 연결 모드 도메인으로 변경합니다.
  4. 기존 고급 연결 모드 구성의 모든 AD FS 설정이 새로운 vCenter Server로 복제됩니다.

    N개 노드 AD FS 고급 연결 모드 도메인에 있는 AD FS 설정이 새로 연결된 vCenter Server의 모든 기존 AD FS 설정을 덮어씁니다.

  5. vCenter Server에 대한 리디렉션 URI를 AD FS에 구성된 기존 OAuth 애플리케이션 그룹에 모두 추가합니다.

고급 연결 모드 AD FS 구성에서 vCenter Server 연결 해제

개략적인 단계:

  1. (사전 요구 사항) N개 노드 vCenter Server 고급 연결 모드 구성에서 AD FS를 설정합니다.
  2. N개 노드 구성에서 vCenter Server 호스트 중 하나의 등록을 취소하고 그 연결 대상을 새 도메인으로 변경하여 N개 노드 구성에서 연결을 해제합니다.
  3. 도메인 연결 대상 변경 프로세스는 SSO 설정을 유지하지 않으므로 연결 해제된 vCenter Server 노드의 모든 AD FS 설정은 되돌려지고 손실됩니다. 연결 해제된 이 vCenter Server 노드에서 AD FS를 계속 사용하려면 AD FS를 처음부터 재구성하거나 vCenter Server를 AD FS가 이미 설정된 고급 연결 모드 구성에 다시 연결해야 합니다.

고급 연결 모드 및 Okta, Microsoft Entra ID 또는 PingFederate ID 제공자 페더레이션

다음 그림에서는 고급 연결 모드로 Okta, Microsoft Entra ID 또는 PingFederate를 사용할 때의 인증 워크플로를 보여줍니다.

그림 2. 고급 연결 모드 및 Okta, Microsoft Entra ID 또는 PingFederate ID 제공자 페더레이션
이 그림은 vCenter Server 시스템이 고급 연결 모드를 사용하여 Okta, Microsoft Entra ID 또는 PingFederate와 상호 작용하는 방법을 보여 줍니다.
참고: Okta, Microsoft Entra ID 또는 PingFederate를 외부 ID 제공자로 구성하는 경우 고급 연결 모드 구성의 모든 vCenter Server 시스템은 Okta의 경우 vSphere 8.0 업데이트 1, Microsoft Entra ID의 경우 vSphere 8.0 업데이트 2 이상 및 PingFederate의 경우 vSphere 8.0 업데이트 3을 실행해야 합니다.
  1. 두 개의 vCenter Server 노드가 고급 연결 모드 구성에 배포되었습니다.
  2. vSphere Client에서 [ID 제공자 변경] 마법사를 사용하여 Okta, Microsoft Entra ID 또는 PingFederate 설정이 vCenter Server A에 구성되었습니다. 또한 Okta, Microsoft Entra ID 또는 PingFederate 사용자 또는 그룹에 대한 그룹 멤버 자격 및 사용 권한도 설정되었습니다.
    참고: vCenter Server A와 B 모두에 VMware Identity Services가 사용되도록 설정되어 있지만 vCenter Server A에 대한 VMware Identity Services만 ID 제공자 서버와 통신합니다.
  3. vCenter Server A에서 실행되는 VMware Identity Services를 사용하면 vCenter Server B가 해당 끝점에 액세스할 수 있습니다.
  4. vCenter Server A에 대한 리디렉션 URI가 Okta, Microsoft Entra ID 또는 PingFederate의 OAuth 애플리케이션에 추가됩니다. 하나의 OAuth 애플리케이션만 생성됩니다.
  5. 사용자가 vCenter Server A에 로그인하여 권한을 부여받으면 vCenter Server B에서도 권한이 부여됩니다. 사용자가 vCenter Server B에 먼저 로그인한 경우에도 마찬가지입니다.

Okta, Microsoft Entra ID 또는 PingFederate를 사용하는 고급 연결 모드 구성 시나리오

vCenter Server 고급 연결 모드는 Okta, Microsoft Entra ID 또는 PingFederate에 대해 다음과 같은 구성 시나리오를 지원합니다. 이 섹션에서 'Okta 설정' 및 'Okta 구성', 'Microsoft Entra ID 설정' 및 'Microsoft Entra ID 구성' 또는 'PingFederate 설정' 및 'PingFederate 구성'이라는 용어는 vSphere Client에서 [ID 제공자 변경] 마법사를 사용하여 구성하는 설정 및 Okta, Microsoft Entra ID 또는 PingFederate 사용자 또는 그룹에 대해 설정한 그룹 멤버 자격 또는 사용 권한을 의미합니다.

기존 고급 연결 모드 구성에서 Okta, Microsoft Entra ID 또는 PingFederate 사용

개략적인 단계:

  1. 고급 연결 모드 구성에서 N개의 vCenter Server 노드를 배포합니다.
  2. 연결된 vCenter Server 노드 중 하나에서 Okta, Microsoft Entra ID 또는 PingFederate를 구성합니다.
  3. VMware Identity Services 끝점 정보가 모두 다른 (N-1)개 vCenter Server 노드로 복제됩니다.

    Okta, Microsoft Entra ID 또는 PingFederate 구성(공유 클라이언트 ID 등) 정보 및 사용자/그룹 정보는 복제되지 않습니다.

vCenter Server를 기존 고급 연결 모드 Okta, Microsoft Entra ID 또는 PingFederate 구성에 연결

개략적인 단계:

  1. (사전 요구 사항) vCenter Server N개 노드 고급 연결 모드 구성에서 Okta, Microsoft Entra ID 또는 PingFederate를 설정합니다.
  2. 독립적인 새 vCenter Server 노드를 배포합니다.
  3. N개 노드 중 하나를 복제 파트너로 사용하여 새 vCenter Server의 연결 대상을 N개 노드 Okta, Microsoft Entra ID 또는 PingFederate 고급 연결 모드 도메인으로 변경합니다.
  4. VMware Identity Services 끝점 정보가 모두 다른 (N-1)개 vCenter Server 노드로 복제됩니다.

    Okta, Microsoft Entra ID 또는 PingFederate 구성(공유 클라이언트 ID 등) 정보 및 사용자/그룹 정보는 복제되지 않습니다.

참고: 기존 VMware Identity Services 구성에서 vCenter Server 노드를 추가할 수 있습니다. 이 시나리오에서는 기존 VMware Identity Services 구성이 가입 중인 VMware ID 서비스 고급 연결 모드 구성으로 대체됩니다.

VMware Identity Services로 구성되지 않은 ELM 구성에는 기존 VMware Identity Services 구성에서 vCenter Server 노드를 추가할 수 없습니다. 이 시나리오에서는 ELM 구성에 추가하기 전에 먼저 기존 VMware Identity Services 구성을 vCenter Server에서 제거합니다.

기존 고급 연결 모드 Okta, Microsoft Entra ID 또는 PingFederate 구성에서 vCenter Server 연결 해제

개략적인 단계:

  1. (사전 요구 사항) N개 노드 vCenter Server 고급 연결 모드 구성에서 Okta, Microsoft Entra ID 또는 PingFederate를 설정합니다.
  2. N개 노드 구성에서 vCenter Server 호스트 중 하나의 등록을 취소하고 그 연결 대상을 새 도메인으로 변경하여 N개 노드 구성에서 연결을 해제합니다.
  3. 도메인 연결 대상 변경 프로세스는 SSO 설정을 유지하지 않으므로 연결 해제된 vCenter Server 노드의 모든 Okta, Microsoft Entra ID 또는 PingFederate 설정은 되돌려지고 손실됩니다. 연결 해제된 이 vCenter Server 노드에서 Okta, Microsoft Entra ID 또는 PingFederate를 계속 사용하려면 Okta, Microsoft Entra ID 또는 PingFederate를 처음부터 재구성하거나 vCenter Server를 Okta, Microsoft Entra ID 또는 PingFederate가 이미 설정된 고급 연결 모드 구성에 다시 연결해야 합니다.
참고: 활성 VMware Identity Services 구성에서 vCenter Server를 연결 해제할 수 없습니다.