vSphere는 vCenter Server 및 ESXi 구성 요소 모두에 대한 인증서를 관리하고 vCenter Single Sign-On으로 인증을 관리하기 위한 공통 인프라 서비스를 제공합니다.
vSphere 인증서를 관리하는 방법
기본적으로 vSphere를 사용하면 VMCA(VMware Certificate Authority)를 통해 vCenter Server 구성 요소 및 ESXi 호스트를 프로비저닝할 수 있습니다. 또한 VECS(VMware Endpoint Certificate Store)에 저장된 사용자 지정 인증서를 사용할 수도 있습니다. 자세한 내용은 vSphere 인증서 관리에 사용할 수 있는 옵션의 내용을 참조하십시오.
vCenter Single Sign-On이란?
vCenter Single Sign-On을 사용하면 안전한 토큰 메커니즘을 통해 vSphere 구성 요소가 서로 통신할 수 있습니다. vCenter Single Sign-On에서는 이해가 필요한 몇 가지 중요한 용어와 정의가 사용됩니다.
| 용어 | 정의 |
|---|---|
| 주체 | 사용자와 같이 인증될 수 있는 엔티티입니다. |
| ID 제공자 | ID 소스를 관리하고 주체를 인증하는 서비스입니다. 예: Microsoft AD FS(Active Directory Federation Services) 및 vCenter Single Sign-On. |
| ID 소스(디렉토리 서비스) | 주체를 저장하고 관리합니다. 주체는 이름, 주소, 이메일, 그룹 멤버 자격과 같이 특정 사용자 또는 서비스에 대한 특성 모음으로 구성됩니다. 예: Microsoft Active Directory 및 VMware Directory Service(vmdir). |
| 인증 | 누군가 또는 무언가가 실제로 자신을 누구로 또는 무엇으로 선언할지 결정하는 방법입니다. 예를 들어 사용자는 스마트 카드, 사용자 이름, 올바른 암호 등과 같은 자신의 자격 증명을 제공할 때 인증됩니다. |
| 권한 부여 | 개체 주체가 액세스할 수 있는 대상을 확인하는 프로세스입니다. |
| 토큰 | 지정된 주체에 대한 ID 정보를 구성하는 서명된 데이터의 모음입니다. 토큰에는 이메일 주소, 전체 이름과 같이 주체에 대한 기본 정보를 비롯하여 토큰 유형에 따라 주체의 그룹 및 역할도 포함될 수 있습니다. |
| vmdir | VMware Directory Service. 사용자 ID, 그룹 및 구성 데이터가 들어 있는 vCenter Server의 내부(로컬) LDAP 저장소입니다. |
| OAuth 2.0 | 주체의 자격 증명을 노출하지 않고 주체와 웹 서비스 간에 정보를 교환할 수 있는 개방형 권한 부여 표준입니다. |
| OIDC(OpenID Connect) | 사용자 식별 정보로 OAuth를 보강하는 OAuth 2.0 기반 인증 프로토콜입니다. 인증 서버가 OAuth 인증 중에 액세스 토큰과 함께 반환하는 ID 토큰으로 표시됩니다. vCenter Server는 AD FS(Active Directory Federation Services), Okta, Microsoft Entra ID 및 PingFederate와 상호 작용할 때 OIDC 기능을 사용합니다. |
| SCIM(System for Cross-domain Identity Management) | ID 도메인 또는 IT 시스템 간의 사용자 ID 정보 교환을 자동화하기 위한 표준입니다. |
| VMware Identity Services | 버전 8.0 업데이트 1부터 VMware Identity Services는 외부 ID 제공자에 대한 ID 페더레이션에 사용할 수 있는 vCenter Server 내의 기본 제공 컨테이너입니다. vCenter Server 내에서 독립적인 ID 브로커 역할을 하며 자체 API 집합이 함께 제공됩니다. 현재 VMware Identity Services는 Okta, Microsoft Entra ID 및 PingFederate를 외부 ID 제공자로 지원합니다. |
| 테넌트 | VMware Identity Services 개념입니다. 테넌트는 하나의 동일한 가상 환경에서 데이터를 다른 테넌트의 데이터와 논리적으로 분리합니다. |
| JWT(JSON Web Token) | OAuth 2.0 규격에 의해 정의된 토큰 형식입니다. JWT 토큰은 주체에 대한 인증 및 권한 부여 정보를 전달합니다. |
| 신뢰 당사자 | 신뢰 당사자는 ID 관리를 위해 권한 부여 서버인 VMware Identity Services 또는 AD FS에 "의존"합니다. 예를 들어 vCenter Server는 페더레이션을 통해 VMware Identity Services 또는 AD FS에 대한 신뢰 당사자 트러스트를 설정합니다. |
| SAML(Security Assertion Markup Language) | vCenter Server에서 사용되는 당사자 간에 인증 및 권한 부여 데이터를 교환하기 위한 XML 기반 개방형 표준입니다. 주체는 vCenter Single Sign-On에서 SAML 토큰을 가져온 다음, 세션 식별자를 위해 vSphere Automation API 끝점으로 보냅니다. |
vCenter Single Sign-On 인증 유형이란?
vCenter Single Sign-On은 기본 제공 vCenter Server ID 제공자 또는 외부 ID 제공자가 관련되어 있는지 여부에 따라 서로 다른 인증 유형을 사용합니다.
| 인증 유형 | ID 제공자 역할을 수행하는 것은 무엇입니까? | vCenter Server가 암호를 처리합니까? | 설명 |
|---|---|---|---|
| 토큰 기반 인증 | 외부 ID 제공자. 예: AD FS. | 아니요 | vCenter Server는 특정 프로토콜을 통해 외부 ID 제공자에 연결하고 특정 사용자 ID를 나타내는 토큰을 가져옵니다. |
| 단순 인증 | vCenter Server | 예 | 사용자 이름과 암호가 vCenter Server에 직접 전달되고 여기에서 해당 ID 소스를 통해 자격 증명을 검증합니다. |
