vSphere와 함께 vCenter Single Sign-On 사용

사용자가 vSphere 구성 요소에 로그인하거나 vCenter Server 솔루션 사용자가 다른 vCenter Server 서비스에 액세스하면 vCenter Single Sign-On이 인증을 수행합니다. 사용자는 vCenter Single Sign-On에 인증되어야 하며 vSphere 개체와 상호 작용하는 데 필요한 권한을 갖고 있어야 합니다.

vCenter Single Sign-On은 솔루션 사용자와 기타 사용자를 모두 인증합니다.

솔루션 사용자는 vSphere 환경에서 서비스 집합을 나타냅니다. 설치할 때 VMCA는 기본적으로 각 솔루션 사용자에게 인증서를 할당합니다. 솔루션 사용자는 해당 인증서를 vCenter Single Sign-On에 인증하는 데 사용합니다. vCenter Single Sign-On은 솔루션 사용자에게 SAML 토큰을 제공하고 솔루션 사용자는 환경의 다른 서비스와 상호 작용할 수 있습니다.
다른 사용자가 환경에 로그인하면(예를 들어 vSphere Client에서), vCenter Single Sign-On에서 사용자 이름과 암호를 묻습니다. vCenter Single Sign-On이 해당 ID 소스에서 해당 자격 증명을 가진 사용자를 찾으면 사용자에게 SAML 토큰을 할당합니다. 이제 사용자는 다시 인증 과정을 거치지 않은 채 환경의 다른 서비스에 액세스할 수 있습니다.
사용자가 어떤 개체를 볼 수 있고 어떤 작업을 수행할 수 있는지는 일반적으로 vCenter Server 사용 권한 설정에 따라 결정됩니다. vCenter Server 관리자는 vCenter Single Sign-On을 통해서가 아니라 vSphere Client의 사용 권한 인터페이스에서 이러한 사용 권한을 할당합니다. "vSphere 보안" 설명서를 참조하십시오.

vCenter Single Sign-On 및 vCenter Server 사용자

사용자는 로그인 페이지에 자격 증명을 입력하여 vCenter Single Sign-On에 대한 인증을 받습니다. vCenter Server에 연결한 후, 인증된 사용자는 역할에 따라 권한이 부여된 모든 vCenter Server 인스턴스 또는 vSphere 개체를 볼 수 있습니다. 추가 인증이 필요하지 않습니다.

설치 후 vCenter Single Sign-On 도메인의 관리자(기본적으로 [email protected])는 vCenter Single Sign-On과 vCenter Server 모두에 관리자로 액세스할 수 있습니다. 그런 다음 ID 소스를 추가하고, 기본 ID 소스를 설정하고, vCenter Single Sign-On 도메인의 사용자 및 그룹을 관리할 수 있습니다.

vCenter Single Sign-On에 인증이 가능한 모든 사용자는 암호를 재설정할 수 있습니다. vCenter Single Sign-On 암호 변경의 내용을 참조하십시오. 더 이상 암호가 없는 사용자의 암호는 vCenter Single Sign-On 관리자만 재설정할 수 있습니다.

vCenter Single Sign-On 관리자

vCenter Single Sign-On 관리 인터페이스는 vSphere Client에서 액세스할 수 있습니다.

vCenter Single Sign-On을 구성하고 vCenter Single Sign-On 사용자 및 그룹을 관리하려면 [email protected] 사용자나 vCenter Single Sign-On 관리자 그룹의 사용자가 vSphere Client에 로그인해야 합니다. 이러한 사용자는 인증 후 vSphere Client에서 vCenter Single Sign-On 관리 인터페이스에 액세스하여 ID 소스 및 기본 도메인을 관리하고, 암호 정책을 지정하고, 그 밖의 관리 작업을 수행할 수 있습니다.

참고: 설치 시 다른 도메인을 지정한 경우에는 vCenter Single Sign-On 관리자의 기본 이름인 [email protected] 또는 administrator@ mydomain은 변경할 수 없습니다. 보안을 강화하려면 vCenter Single Sign-On 도메인에 이름이 지정된 사용자를 추가로 생성하고 이러한 사용자에게 관리 권한을 할당하는 것이 좋습니다. 이렇게 하면 관리자 계정을 더 사용하지 않아도 됩니다.

vCenter Server의 기타 사용자 계정

다음 사용자 계정은 vsphere.local 도메인(또는 설치 시 생성한 기본 도메인)의 vCenter Server 내에서 자동으로 생성됩니다. 이러한 사용자 계정은 셸 계정입니다. vCenter Single Sign-On 암호 정책은 이러한 계정에 적용되지 않습니다.

표 1. 기타 vCenter Server 사용자 계정
계정	설명
K/M	Kerberos 키 관리용입니다.
krbtgt/VSPHERE.LOCAL	통합 Windows 인증 호환성용입니다.
waiter-`random_string`	Auto Deploy용입니다.

ESXi 사용자

독립 실행형 ESXi 호스트는 vCenter Single Sign-On와 통합되지 않습니다. ESXi 호스트를 Active Directory에 추가하는 데 대한 자세한 내용은 "vSphere 보안" 을 참조하십시오.

VMware Host Client, ESXCLI 또는 PowerCLI를 사용하여 관리 ESXi 호스트에 대한 로컬 ESXi 사용자를 생성하는 경우 vCenter Server가 해당 사용자를 인식하지 못합니다. 따라서 로컬 사용자를 생성하면 사용자 이름이 동일한 경우에는 특히 혼동을 야기할 수 있습니다. vCenter Single Sign-On에 인증할 수 있는 사용자가 ESXi 호스트 개체에 대해 해당하는 사용 권한을 가지고 있으면 이 사용자는 ESXi 호스트를 보고 관리할 수 있습니다.

참고: 가능하면 vCenter Server를 통해 ESXi 호스트에 대한 사용 권한을 관리하십시오.

vCenter Server 구성 요소에 로그인하는 방법

vSphere Client에 연결하여 로그인할 수 있습니다.

사용자가 vSphere Client에서 vCenter Server 시스템에 로그인할 때 로그인 동작은 해당 사용자가 기본 ID 소스로 설정된 도메인에 있는지 여부에 따라 달라집니다.

기본 도메인에 있는 사용자는 자신의 사용자 이름과 암호로 로그인할 수 있습니다.
vCenter Single Sign-On에 ID 소스로 추가되었지만 기본 도메인은 아닌 도메인에 있는 사용자는 vCenter Server에 로그인할 수는 있지만 다음 방법 중 하나로 도메인을 지정해야 합니다.
- 도메인 이름 접두사 포함(예: MYDOMAIN\user1)
- 도메인 포함(예: [email protected])
vCenter Single Sign-On ID 소스가 아닌 도메인에 있는 사용자는 vCenter Server에 로그인할 수 없습니다. vCenter Single Sign-On에 추가하는 도메인이 도메인 계층의 일부이면 Active Directory에서는 해당 계층에 있는 다른 도메인의 사용자가 인증되었는지 여부를 확인합니다.

환경에 Active Directory 계층 구조가 포함되어 있는 경우 VMware 기술 자료 문서 https://kb.vmware.com/s/article/2064250에서 지원되는 설정과 지원되지 않는 설정에 대한 자세한 내용을 참조하십시오.