vSphere 8.0 업데이트 1 이상을 설치하거나 이 버전으로 업그레이드한 후 Okta에 대한 vCenter Server ID 제공자 페더레이션을 외부 ID 제공자로 구성할 수 있습니다.
vCenter Server는 구성된 외부 ID 제공자(하나의 소스)와 vsphere.local ID 소스(로컬 소스)를 하나만 지원합니다. 외부 ID 제공자를 여러 개 사용할 수 없습니다. vCenter Server ID 제공자 페더레이션은 OIDC(OpenID Connect)를 사용하여 사용자가 vCenter Server에 로그인되도록 합니다.
vCenter Server에서 전역 또는 개체 사용 권한을 통해 Okta 그룹 및 사용자를 사용하여 권한을 구성할 수 있습니다. 사용 권한 추가에 대한 자세한 내용은 "vSphere 보안" 설명서를 참조하십시오.
사전 요구 사항
Okta 요구 사항:
- Okta를 사용 중이고 전용 도메인 공간(예: https://your-company.okta.com)이 있습니다.
- OIDC 로그인을 수행하고 사용자 및 그룹 권한을 관리하려면 다음 Okta 애플리케이션을 생성해야 합니다.
- OpenID Connect를 로그온 방법으로 사용하는 Okta 네이티브 애플리케이션. 네이티브 애플리케이션에는 인증 코드, 새로 고침 토큰 및 리소스 소유자 암호의 권한 부여 유형이 포함되어야 합니다.
- Okta 서버와 vCenter Server 간에 사용자 및 그룹 동기화를 수행하기 위한 OAuth 2.0 보유자 토큰이 있는 SCIM(System for Cross-domain Identity Management) 2.0 애플리케이션.
VMware 기술 자료 문서(https://kb.vmware.com/s/article/90835)를 참조하십시오.
- vCenter Server와 공유하려는 Okta 사용자 및 그룹을 식별했습니다. 이 공유는 SCIM 작업입니다(OIDC 작업이 아님).
Okta 연결 요구 사항:
- vCenter Server는 Okta 검색 끝점, 권한 부여, 토큰, 로그아웃, JWKS 및 검색 끝점 메타데이터에 보급된 기타 끝점에 연결할 수 있어야 합니다.
- Okta는 SCIM 프로비저닝을 위해 사용자 및 그룹 데이터를 보내기 위해 vCenter Server와 연결할 수 있어야 합니다.
vCenter Server 요구 사항:
- vSphere 8.0 업데이트 1 이상
- Okta ID 소스를 생성하려는 vCenter Server에서 VMware Identity Services가 활성화되었는지 확인합니다.
참고: vSphere 8.0 업데이트 1 이상으로 업그레이드하거나 설치하는 경우 VMware ID 서버가 기본적으로 활성화됩니다. vCenter Server 관리 인터페이스를 사용하여 VMware Identity Services의 상태를 확인할 수 있습니다. VMware Identity Services 중지 및 시작의 내용을 참조하십시오.
vSphere 권한 요구 사항:
- 페더레이션 인증에 필요한 vCenter Server ID 제공자를 생성, 업데이트 또는 삭제하려면 권한이 있어야 합니다. 사용자가 ID 제공자 구성 정보만 보도록 제한하려면 권한을 할당합니다.
고급 연결 모드 요구 사항:
- 고급 연결 모드 구성에서 Okta에 대한 vCenter Server ID 제공자 페더레이션을 구성할 수 있습니다. 고급 연결 모드 구성에서 Okta를 구성하는 경우 단일 vCenter Server시스템에서 VMware Identity Services를 사용하도록 Okta ID 제공자를 구성합니다. 예를 들어 고급 연결 모드 구성이 두 개의 vCenter Server 시스템으로 구성된 경우 하나의 vCenter Server와 해당 VMware Identity Services 인스턴스만 Okta 서버와 통신하는 데 사용됩니다. 이 vCenter Server 시스템을 사용할 수 없게 되면 ELM 구성의 다른 vCenter Server에서 VMware Identity Services를 구성하여 Okta서버와 상호 작용할 수 있습니다. 자세한 내용은 고급 연결 모드 구성의 외부 ID 제공자에 대한 활성화 프로세스의 내용을 참조하십시오.
- Okta를 외부 ID 제공자로 구성할 때 고급 연결 모드 구성의 모든 vCenter Server 시스템은 vSphere 8.0 업데이트 1 이상을 실행해야 합니다.
네트워킹 요구 사항:
- 네트워크를 공개적으로 사용할 수 없는 경우 vCenter Server 시스템과 Okta 서버 사이에 네트워크 터널을 생성한 다음 공개적으로 액세스할 수 있는 적절한 URL을 기본 URI로 사용해야 합니다.