vCenter Server ID 제공자 페더레이션을 효과적으로 구성하려면 발생하는 통신 흐름을 이해해야 합니다.

AD FS, Microsoft Entra ID(이전 명칭: Azure AD), Okta 또는 PingFederate에 대한 vCenter Server ID 제공자 페더레이션을 구성할 수 있습니다.

AD FS에 대한 vCenter Server ID 제공자 페더레이션 구성 프로세스 흐름

다음 그림은 AD FS에 대한 vCenter Server ID 제공자 페더레이션을 구성할 때 발생하는 프로세스 흐름을 보여 줍니다.

그림 1. AD FS에 대한 vCenter Server ID 제공자 페더레이션 구성 프로세스 흐름

이 그림은 AD FS에 대한 vCenter Server ID 제공자 페더레이션 구성을 위한 프로세스 흐름을 보여 줍니다.

vCenter Server, AD FS 및 Active Directory는 다음과 같이 상호 작용합니다.

  1. AD FS 관리자가 vCenter Server에 대한 AD FS OIDC 애플리케이션을 구성합니다.
  2. vCenter Server 관리자가 vSphere Client를 사용하여 vCenter Server에 로그인합니다.
  3. vCenter Server 관리자가 AD FS ID 제공자를 vCenter Server에 추가하고 Active Directory 도메인에 대한 정보를 입력합니다.

    vCenter Server에서 AD FS 서버의 Active Directory 도메인에 LDAP를 연결하려면 이 정보가 필요합니다. vCenter Server는 이 연결을 사용하여 사용자와 그룹을 검색하여 다음 단계에서 vCenter Server 로컬 그룹에 추가합니다. 자세한 내용은 아래에 나오는 "Active Directory 도메인 검색" 섹션을 참조하십시오.

  4. vCenter Server 관리자가 AD FS 사용자를 위해 vCenter Server에서 권한 부여 권한을 구성합니다.
  5. AD FS 제공자가 VcIdentityProviders API를 쿼리하여 Active Directory 소스에 대한 LDAP 연결 정보를 얻습니다.
  6. AD FS 제공자가 Active Directory에서 쿼리된 사용자 또는 그룹을 검색하고 권한 부여 구성을 마칩니다.

Active Directory 도메인 검색

vSphere Client에서 [기본 ID 제공자 구성] 마법사를 사용하여 AD FS를 vCenter Server에서 외부 ID 제공자로 구성합니다. 구성 프로세스의 일부로, 사용자 및 그룹 고유 이름 정보를 포함하여 Active Directory 도메인에 대한 정보를 입력해야 합니다. 인증을 위해 AD FS를 구성하려면 이 Active Directory 연결 정보가 필요합니다. 이 연결은 Active Directory 사용자 이름 및 그룹을 검색하여 vCenter Server의 역할 및 권한에 매핑하는 데 필요하고 AD FS는 사용자 인증에 사용됩니다. 이 [기본 ID 제공자 구성] 마법사 단계는 LDAP를 통한 Active Directory ID 소스를 생성하지 않습니다. 대신, vCenter Server는 이 정보를 사용하여 Active Directory 도메인에 대한 유효한 검색 가능한 연결을 설정하여 여기에서 사용자 및 그룹을 찾습니다.

다음 고유 이름 항목을 사용하는 예를 고려해 보십시오.

  • 사용자의 기본 고유 이름: cn=Users,dc=corp,dc=local
  • 그룹의 기본 고유 이름: dc=corp,dc=local
  • 사용자 이름: cn=Administrator,cn=Users,dc=corp,dc=local

[email protected] 사용자가 [email protected] 그룹의 멤버인 경우 마법사에 이 정보를 입력하면 vCenter Server 관리자가 [email protected] 그룹을 검색하고 찾아서 vCenter Server [email protected] 그룹에 추가할 수 있습니다. 그러면 [email protected] 사용자는 로그인했을 때 vCenter Server에서 관리 권한이 부여됩니다.

vCenter Server는 사용자가 Active Directory 사용자 및 그룹에 대해 글로벌 사용 권한을 구성할 때에도 이 검색 프로세스를 사용합니다. 글로벌 사용 권한을 구성하거나 사용자 또는 그룹을 추가하는 이 두 가지 경우 모두, 도메인 드롭다운 메뉴에서 AD FS ID 제공자에 대해 입력한 도메인을 선택하여 Active Directory 도메인에서 사용자 및 그룹을 검색하고 선택할 수 있습니다.

VMware Identity Services를 사용한 vCenter Server ID 제공자 페더레이션 구성 프로세스 흐름

Okta, Microsoft Entra ID 및 PingFederate를 구성하려면 VMware Identity Services를 사용하면 됩니다. 다음 그림은 VMware Identity Services를 사용하여 vCenter Server ID 제공자 페더레이션을 구성할 때 발생하는 프로세스 흐름을 보여줍니다.

그림 2. VMware Identity Services를 사용한 vCenter Server ID 제공자 페더레이션 구성 프로세스 흐름 이 그림은 VMware Identity Services를 사용하여 vCenter Server ID 제공자 페더레이션을 구성하는 프로세스 흐름을 보여줍니다.

vCenter Server, VMware Identity Services 및 Active Directory는 다음과 같이 상호 작용합니다.

  1. 외부 IDP 관리자가 vCenter Server에 대한 OIDC 애플리케이션을 구성합니다.
  2. vCenter Server 관리자는 vSphere Client를 사용하여 vCenter Server에 로그인한 후 vCenter Server에 ID 제공자를 추가하고 도메인 정보도 입력합니다.
  3. vCenter Server 관리자는 리디렉션 URI(vSphere Client의 ID 제공자 구성 페이지에서 가져옴)를 ID 제공자 관리자에게 제공하여 2단계에서 생성된 OIDC 애플리케이션에 추가합니다.
  4. 외부 IDP 관리자는 SCIM 2.0 애플리케이션을 구성합니다.
  5. 외부 IDP 관리자는 SCIM 2.0 애플리케이션에 사용자 및 그룹을 할당하고 사용자 및 그룹을 vCenter Server에 푸시합니다.
  6. vCenter Server 관리자가 외부 IDP 사용자를 위해 vCenter Server에서 권한 부여 권한을 구성합니다.

외부 IDP 사용자 및 그룹

외부 ID 제공자는 사용자 및 그룹에 대해 SCIM(System for Cross-domain Identity Management)을 사용하기 때문에 해당 사용자 및 그룹이 vCenter Server에 상주합니다. 예를 들어 사용 권한을 할당하기 위해 외부 ID 제공자에서 사용자 및 그룹을 검색하는 경우 검색은 vCenter Server에서 로컬로 수행됩니다.

vCenter Server는 외부 IDP 사용자 및 그룹에 대한 글로벌 사용 권한을 구성할 때도 이 검색 프로세스를 사용합니다. 글로벌 사용 권한을 구성하거나 사용자 또는 그룹을 추가하는 이 두 가지 경우 모두, 도메인 드롭다운 메뉴에서 ID 제공자에 대해 입력한 도메인을 선택하여 도메인에서 사용자 및 그룹을 검색하고 선택할 수 있습니다.