vSphere 8.0 업데이트 1 이상을 설치하거나 이 버전으로 업그레이드한 후 Okta에 대한 vCenter Server ID 제공자 페더레이션을 외부 ID 제공자로 구성할 수 있습니다.

vCenter Server는 구성된 외부 ID 제공자(하나의 소스)와 vsphere.local ID 소스(로컬 소스)를 하나만 지원합니다. 외부 ID 제공자를 여러 개 사용할 수 없습니다. vCenter Server ID 제공자 페더레이션은 OIDC(OpenID Connect)를 사용하여 사용자가 vCenter Server에 로그인되도록 합니다.

vCenter Server에서 전역 또는 개체 사용 권한을 통해 Okta 그룹 및 사용자를 사용하여 권한을 구성할 수 있습니다. 사용 권한 추가에 대한 자세한 내용은 "vSphere 보안" 설명서를 참조하십시오.

사전 요구 사항

Okta 요구 사항:

  • Okta를 사용 중이고 전용 도메인 공간(예: https://your-company.okta.com)이 있습니다.
  • OIDC 로그인을 수행하고 사용자 및 그룹 권한을 관리하려면 다음 Okta 애플리케이션을 생성해야 합니다.
    • OpenID Connect를 로그온 방법으로 사용하는 Okta 네이티브 애플리케이션. 네이티브 애플리케이션에는 인증 코드, 새로 고침 토큰 및 리소스 소유자 암호의 권한 부여 유형이 포함되어야 합니다.
    • Okta 서버와 vCenter Server 간에 사용자 및 그룹 동기화를 수행하기 위한 OAuth 2.0 보유자 토큰이 있는 SCIM(System for Cross-domain Identity Management) 2.0 애플리케이션.

    VMware 기술 자료 문서(https://kb.vmware.com/s/article/90835)를 참조하십시오.

  • vCenter Server와 공유하려는 Okta 사용자 및 그룹을 식별했습니다. 이 공유는 SCIM 작업입니다(OIDC 작업이 아님).

Okta 연결 요구 사항:

  • vCenter Server는 Okta 검색 끝점, 권한 부여, 토큰, 로그아웃, JWKS 및 검색 끝점 메타데이터에 보급된 기타 끝점에 연결할 수 있어야 합니다.
  • Okta는 SCIM 프로비저닝을 위해 사용자 및 그룹 데이터를 보내기 위해 vCenter Server와 연결할 수 있어야 합니다.

vCenter Server 요구 사항:

  • vSphere 8.0 업데이트 1 이상
  • Okta ID 소스를 생성하려는 vCenter Server에서 VMware Identity Services가 활성화되었는지 확인합니다.
    참고: vSphere 8.0 업데이트 1 이상으로 업그레이드하거나 설치하는 경우 VMware ID 서버가 기본적으로 활성화됩니다. vCenter Server 관리 인터페이스를 사용하여 VMware Identity Services의 상태를 확인할 수 있습니다. VMware Identity Services 중지 및 시작의 내용을 참조하십시오.

vSphere 권한 요구 사항:

  • 페더레이션 인증에 필요한 vCenter Server ID 제공자를 생성, 업데이트 또는 삭제하려면 VcIdentityProviders.Manage 권한이 있어야 합니다. 사용자가 ID 제공자 구성 정보만 보도록 제한하려면 VcIdentityProviders.Read 권한을 할당합니다.

고급 연결 모드 요구 사항:

  • 고급 연결 모드 구성에서 Okta에 대한 vCenter Server ID 제공자 페더레이션을 구성할 수 있습니다. 고급 연결 모드 구성에서 Okta를 구성하는 경우 단일 vCenter Server시스템에서 VMware Identity Services를 사용하도록 Okta ID 제공자를 구성합니다. 예를 들어 고급 연결 모드 구성이 두 개의 vCenter Server 시스템으로 구성된 경우 하나의 vCenter Server와 해당 VMware Identity Services 인스턴스만 Okta 서버와 통신하는 데 사용됩니다. 이 vCenter Server 시스템을 사용할 수 없게 되면 ELM 구성의 다른 vCenter Server에서 VMware Identity Services를 구성하여 Okta서버와 상호 작용할 수 있습니다. 자세한 내용은 고급 연결 모드 구성의 외부 ID 제공자에 대한 활성화 프로세스의 내용을 참조하십시오.
  • Okta를 외부 ID 제공자로 구성할 때 고급 연결 모드 구성의 모든 vCenter Server 시스템은 vSphere 8.0 업데이트 1 이상을 실행해야 합니다.

네트워킹 요구 사항:

  • 네트워크를 공개적으로 사용할 수 없는 경우 vCenter Server 시스템과 Okta 서버 사이에 네트워크 터널을 생성한 다음 공개적으로 액세스할 수 있는 적절한 URL을 기본 URI로 사용해야 합니다.

프로시저

  1. Okta에서 OpenID Connect 애플리케이션을 생성하고 OpenID Connect 애플리케이션에 그룹 및 사용자를 할당합니다.
    OpenID Connect 애플리케이션을 생성하고 그룹 및 사용자를 할당하려면 https://kb.vmware.com/s/article/90835에서 VMware 기술 자료 문서를 참조하십시오. "OpenID Connect 애플리케이션 생성" 섹션의 단계를 따르십시오. Okta OpenID Connect 애플리케이션을 생성한 후 다음 단계에서 vCenter Server ID 제공자를 구성할 때 사용할 수 있도록 Okta OpenID Connect 애플리케이션에서 파일로 다음 정보를 복사합니다.
    • 클라이언트 식별자
    • 클라이언트 암호(vSphere Client에서 공유 암호로 표시됨)
    • Active Directory 도메인 정보 또는 Active Directory를 실행하지 않는 경우 Okta 도메인 정보
  2. vCenter Server에서 ID 제공자를 생성하려면 다음을 수행합니다.
    1. vSphere Client를 사용하여 vCenter Server에 관리자로 로그인합니다.
    2. > 관리 > Single Sign On > 구성으로 이동합니다.
    3. 제공자 변경을 클릭하고 Okta를 선택합니다.
      기본 ID 제공자 구성 마법사가 열립니다.
    4. 사전 요구 사항 패널에서 Okta 및 vCenter Server 요구 사항을 검토합니다.
    5. 사전 검사 실행을 클릭합니다.
      사전 검사에서 오류가 발견되면 세부 정보 보기를 클릭하고 표시된 대로 오류를 해결하는 단계를 수행합니다.
    6. 사전 검사가 통과되면 확인란을 클릭하고 다음을 클릭합니다.
    7. 디렉토리 정보 패널에서 다음 정보를 입력합니다.
      • 디렉토리 이름: Okta에서 푸시된 사용자 및 그룹을 저장하는 vCenter Server에 생성할 로컬 디렉토리의 이름입니다. 예: vcenter-okta-directory.
      • 도메인 이름: vCenter Server와 동기화하려는 Okta 사용자 및 그룹이 포함된 Okta 도메인 이름을 입력합니다.

        Okta 도메인 이름을 입력한 후 더하기 아이콘(+)을 클릭하여 추가합니다. 여러 도메인 이름을 입력하는 경우 기본 도메인을 지정합니다.

    8. 다음을 클릭합니다.
    9. OpenID Connect 패널에서 다음 정보를 입력합니다.
      • 리디렉션 URI: 자동으로 채워집니다. OpenID Connect 애플리케이션을 생성하는 데 사용할 리디렉션 URI를 Okta 관리자에게 제공합니다.
      • ID 제공자 이름: Okta로 자동 입력됩니다.
      • 클라이언트 식별자: 1단계에서 Okta에서 OpenID Connect 애플리케이션을 생성할 때 확보합니다. (Okta는 클라이언트 식별자를 클라이언트 ID라고 합니다.)
      • 공유 암호: 1단계에서 Okta에서 OpenID Connect 애플리케이션을 생성할 때 확보합니다. (Okta는 공유 암호를 클라이언트 암호라고 합니다.)
      • OpenID 주소: https://Okta domain space/oauth2/default/.well-known/openid-configuration 형식을 사용합니다.

        예를 들어 Okta 도메인 공간이 example.okta.com인 경우 OpenID 주소는 https://example.okta.com/oauth2/default/.well-known/openid-configuration입니다.

        자세한 내용은 https://developer.okta.com/docs/reference/api/oidc/#well-known-openid-configuration의 내용을 참조하십시오.

    10. 다음을 클릭합니다.
    11. 정보를 검토하고 마침을 클릭합니다.
      vCenter Server는 Okta ID 제공자를 생성하고 구성 정보를 표시합니다.
    12. 필요한 경우 아래로 스크롤하여 리디렉션 URI에 대한 복사 아이콘을 클릭하고 파일에 저장합니다.
      Okta OpenID Connect 애플리케이션에서 리디렉션 URI를 사용합니다.
    13. 테넌트 URL에 대한 복사 아이콘을 클릭하고 파일에 저장합니다.
      참고: 네트워크를 공개적으로 사용할 수 없는 경우 vCenter Server 시스템과 Okta 서버 사이에 네트워크 터널을 생성해야 합니다. 네트워크 터널을 생성한 후 공개적으로 액세스할 수 있는 적절한 URL을 기본 URI로 사용합니다.
    14. 사용자 프로비저닝에서 생성을 클릭하여 비밀 토큰을 생성하고 드롭다운에서 토큰 수명 기간을 선택한 다음, 클립보드에 복사를 클릭합니다. 토큰을 안전한 위치에 저장합니다.
      Okta SCIM 2.0 애플리케이션에서 테넌트 URL 및 토큰을 사용합니다. Okta SCIM 2.0 애플리케이션은 토큰을 사용하여 Okta 사용자 및 그룹을 VMware Identity Services에 동기화합니다. 이 정보는 Okta 사용자 및 그룹을 Okta에서 vCenter Server로 푸시하는 데 필요합니다.
  3. VMware 기술 자료 문서(https://kb.vmware.com/s/article/90835)로 돌아가서 Okta 리디렉션 URI를 업데이트합니다.
    "Okta 리디렉션 URI 업데이트" 섹션의 단계를 따릅니다.
  4. SCIM 2.0 애플리케이션을 생성하려면 VMware 기술 자료 문서(https://kb.vmware.com/s/article/90835)를 계속 참조하십시오.
    "SCIM 2.0 애플리케이션 생성 및 사용자 및 그룹을 vCenter Server에 푸시" 섹션의 단계를 따릅니다.
    기술 자료 문서에 설명된 대로 SCIM 2.0 애플리케이션 생성이 완료되면 다음 단계를 계속 진행합니다.
  5. Okta 인증을 위해 vCenter Server를 구성합니다.
    Okta 사용자를 vCenter Server 그룹에 할당하거나 Okta 사용자에게 인벤토리 수준 및 글로벌 사용 권한을 할당할 수 있습니다. 로그인에 필요한 최소 사용 권한은 읽기 전용 입니다.
    Okta 사용자를 그룹에 할당하려면 vCenter Single Sign-On 그룹에 멤버 추가 항목을 참조하십시오. Okta 사용자에게 인벤토리 수준 및 글로벌 사용 권한을 할당하려면 " vSphere 보안" 설명서에서 vCenter Server 구성 요소에 대한 사용 권한 관리에 대한 항목을 참조하십시오.
  6. Okta 사용자로 vCenter Server에 로그인되는지 확인합니다.