vSphere 8.0 업데이트 1을 설치하거나 이 버전으로 업그레이드한 후 PingFederate에 대한 vCenter Server ID 제공자 페더레이션을 외부 ID 제공자로 구성할 수 있습니다.

PingFederate에 대한 vCenter Server ID 제공자를 구성하는 개략적인 단계

PingFederate에 대해 vCenter Server를 구성하려면 다음과 같은 개략적인 단계를 수행해야 합니다.

  1. PingFederate에서 vCenter Server/VMware Identity Services 특정 구성(PingFederate 워크플로의 범위 및 공통 구성 포함)을 생성합니다.
  2. PingFederate에서 암호 부여 흐름 구성 및 인증 코드 흐름 구성을 비롯한 글로벌 항목을 생성합니다.
  3. PingFederate에서 SCIM Provisioner를 설치합니다.
  4. vCenter Server에서 PingFederate ID 제공자를 생성합니다.
  5. PingFederate에서 SCIM 애플리케이션(SP 연결)을 생성합니다.
  6. vCenter Server에서 PingFederate 사용자에게 권한을 부여합니다.
참고: 이 설명서의 지침은 PingFederate 서버에 대한 일반적인 설정을 생성합니다. 사용 환경은 다를 수 있으며, 따라서 다른 선택을 할 수도 있습니다.

PingFederate에 대한 vCenter Server ID 제공자를 구성하기 위한 사전 요구 사항

PingFederate 요구 사항:

  • 온-프레미스에 PingFederate 서버를 설치했습니다.
  • PingFederate ID 제공자를 구성하는 vCenter Server에서 신뢰할 수 있는 루트 인증서를 확보하여 PingFederate 서버로 가져와야 합니다.
  • 필요한 경우, PingFederate SSL 인증서가 자체 서명된 경우(즉, 잘 알려진 공용 CA(인증 기관)에서 발급되지 않은 경우) PingFederate SSL 인증서 또는 인증서 체인을 vCenter Server로 가져와야 할 수도 있습니다. 잘 알려진 CA(인증 기관)에서 PingFederate SSL 인증서 또는 체인의 인증서 중 하나가 발급된 경우에는 vCenter Server에서 해당 인증서가 자동으로 신뢰되므로 가져올 필요가 없습니다. PingFederate 서버 SSL 인증서에 대해 하나 이상의 중간 서명 기관을 사용하는 경우에는 전체 인증서 체인을 포함합니다.

    PingFederate SSL 인증서를 내보내려면 PingFederate 관리 콘솔에서 보안 > SSL 서버 인증서 이동한 후 기본 인증서를 선택하고 작업 선택 드롭다운에서 내보내기를 선택합니다.

    ID 제공자 구성 워크플로의 일부로 OpenID Connect 패널에서 vSphere Client를 사용하여 PingFederate SSL 인증서를 가져옵니다.

  • OIDC 로그인을 수행하고 사용자 및 그룹 권한을 관리하려면 다음 PingFederate 애플리케이션을 생성해야 합니다.
    • OpenID Connect를 로그온 방법으로 사용하는 PingFederate 네이티브 애플리케이션. 네이티브 애플리케이션에는 인증 코드, 새로 고침 토큰 및 리소스 소유자 암호의 권한 부여 유형이 포함되어야 합니다.
    • PingFederate 서버와 vCenter Server 간에 사용자 및 그룹 동기화를 수행하기 위한 OAuth 2.0 Bearer 토큰이 있는 SCIM(System for Cross-domain Identity Management) 2.0 애플리케이션(PingFederate에서는 SP 연결이라고 함).
  • vCenter Server와 공유하려는 PingFederate 사용자 및 그룹을 식별했습니다. 이 공유는 SCIM 작업입니다(OIDC 작업이 아님).

PingFederate 연결 요구 사항:

  • vCenter Server는 PingFederate 검색 끝점, 권한 부여, 토큰, 로그아웃, JWKS 및 검색 끝점 메타데이터에 보급된 기타 끝점에 연결할 수 있어야 합니다.
  • PingFederate는 SCIM 프로비저닝을 위해 사용자 및 그룹 데이터를 보내기 위해 vCenter Server와 연결할 수 있어야 합니다.

vCenter Server 요구 사항:

  • vSphere 8.0 업데이트 3
  • PingFederate ID 소스를 생성하려는 vCenter Server에서 VMware Identity Services가 활성화되었는지 확인합니다.
    참고: vSphere 8.0 업데이트 1 이상으로 업그레이드하거나 설치하는 경우 VMware ID 서버가 기본적으로 활성화됩니다. vCenter Server 관리 인터페이스를 사용하여 VMware Identity Services의 상태를 확인할 수 있습니다. VMware Identity Services 중지 및 시작의 내용을 참조하십시오.

vSphere 권한 요구 사항:

  • 페더레이션 인증에 필요한 vCenter Server ID 제공자를 생성, 업데이트 또는 삭제하려면 VcIdentityProviders.Manage 권한이 있어야 합니다. 사용자가 ID 제공자 구성 정보만 보도록 제한하려면 VcIdentityProviders.Read 권한을 할당합니다.

고급 연결 모드 요구 사항:

  • 고급 연결 모드 구성에서 PingFederate에 대한 vCenter Server ID 제공자 페더레이션을 구성할 수 있습니다. 고급 연결 모드 구성에서 PingFederate를 구성하는 경우 단일 vCenter Server시스템에서 VMware Identity Services를 사용하도록 PingFederate ID 제공자를 구성합니다. 예를 들어 고급 연결 모드 구성이 두 개의 vCenter Server 시스템으로 구성된 경우 하나의 vCenter Server와 해당 VMware Identity Services 인스턴스만 PingFederate 서버와 통신하는 데 사용됩니다. 이 vCenter Server 시스템을 사용할 수 없게 되면 ELM 구성의 다른 vCenter Server에서 VMware Identity Services를 구성하여 PingFederate 서버와 상호 작용할 수 있습니다. 자세한 내용은 고급 연결 모드 구성의 외부 ID 제공자에 대한 활성화 프로세스의 내용을 참조하십시오.
  • PingFederate를 외부 ID 제공자로 구성할 때 고급 연결 모드 구성의 모든 vCenter Server 시스템은 vSphere 8.0 업데이트 3 이상을 실행해야 합니다.