vSphere 7.0 이상을 설치하거나 업그레이드한 후 AD FS에 대한 vCenter Server ID 제공자 페더레이션을 외부 ID 제공자로 구성할 수 있습니다.

참고: 이 지침은 vSphere 8.0 업데이트 1 이상에 대한 것입니다. vSphere 8.0의 경우 https://docs.vmware.com/kr/VMware-vSphere/8.0/vsphere-documentation-80.zip의 " vSphere 인증" 설명서에서 AD FS에 대한 vCenter Server ID 제공자 페더레이션 구성에 대한 항목을 참조하십시오.

vCenter Server는 구성된 외부 ID 제공자(하나의 소스)와 vsphere.local ID 소스를 하나만 지원합니다. 외부 ID 제공자를 여러 개 사용할 수 없습니다. vCenter Server ID 제공자 페더레이션은 OIDC(OpenID Connect)를 사용하여 사용자가 vCenter Server에 로그인되도록 합니다.

이 작업에서는 사용 권한을 제어하는 방법으로 AD FS 그룹을 vSphere 관리자 그룹에 추가하는 방법을 설명합니다. vCenter Server에서 글로벌 또는 개체 사용 권한을 통해 AD FS 인증을 사용하여 권한을 구성할 수도 있습니다. 사용 권한 추가에 대한 자세한 내용은 "vSphere 보안" 설명서를 참조하십시오.

경고:

이전에 vCenter Server에 추가한 Active Directory ID 소스를 AD FS ID 소스로 사용하는 경우에는 vCenter Server에서 기존 ID 소스를 삭제하지 마십시오. 그렇게 하면 이전에 할당된 역할 및 그룹 멤버 자격으로 회귀가 발생합니다. 글로벌 사용 권한이 있는 AD FS 사용자와 관리자 그룹에 추가된 사용자가 모두 로그인할 수 없습니다.

해결 방법: 이전에 할당된 역할 및 그룹 멤버 자격이 필요하지 않은 경우 이전 Active Directory ID 소스를 제거하려면, AD FS 제공자를 생성하고 vCenter Server에서 그룹 멤버 자격을 구성하기 전에 ID 소스를 제거합니다.

사전 요구 사항

참고: AD FS ID 제공자를 구성하는 이 프로세스에서는 vCenter Server 및 AD FS 서버 모두에 대한 관리 액세스 권한이 있어야 합니다. 구성 프로세스 중에 먼저 vCenter Server에 정보를 입력한 다음 AD FS 서버에 입력한 후 vCenter Server에 입력합니다.

Active Directory Federation Service 요구 사항:

  • Windows Server 2016 이상용 AD FS가 이미 배포되어 있어야 합니다.
  • AD FS가 Active Directory에 연결되어 있어야 합니다.
  • 구성 프로세스의 일환으로 AD FS에서 vCenter Server용 애플리케이션 그룹을 생성해야 합니다. VMware 기술 자료 문서(https://kb.vmware.com/s/article/78029)를 참조하십시오.
  • 신뢰할 수 있는 루트 인증서 저장소에 추가하는 AD FS 서버 인증서(또는 AD FS 서버 인증서에 서명한 CA 또는 중간 인증서).
  • vCenter Server 관리자 권한을 부여하려는 사용자가 포함된 vCenter Server 관리자 그룹을 AD FS에 생성했습니다.

AD FS 구성에 대한 자세한 내용은 Microsoft 설명서를 참조하십시오.

vCenter Server 및 기타 요구 사항:

  • vSphere 7.0 이상
  • vCenter Server는 AD FS 검색 끝점, 권한 부여, 토큰, 로그아웃, JWKS 및 검색 끝점 메타데이터에 보급된 기타 끝점에 연결할 수 있어야 합니다.
  • 페더레이션 인증에 필요한 vCenter Server ID 제공자를 생성, 업데이트 또는 삭제하려면 VcIdentityProviders.Manage 권한이 필요합니다. 사용자가 ID 제공자 구성 정보만 보도록 제한하려면 VcIdentityProviders.Read 권한을 할당합니다.

프로시저

  1. vSphere Client를 사용하여 vCenter Server에 로그인합니다.
  2. AD FS 서버 인증서(또는 AD FS 서버 인증서에 서명한 CA 또는 중간 인증서)를 신뢰할 수 있는 루트 인증서 저장소에 추가합니다.
    참고: 자세한 내용은 vSphere Client를 사용하여 신뢰할 수 있는 루트 인증서를 인증서 저장소에 추가에서 참조하십시오.
    1. 관리 > 인증서 > 인증서 관리로 이동합니다.
    2. 신뢰할 수 있는 루트 저장소 옆에 있는 추가를 클릭합니다.
    3. AD FS 인증서를 찾아서 추가를 클릭합니다.
      인증서가 신뢰할 수 있는 루트 인증서 아래 패널에 추가됩니다.
  3. vCenter Server에서 ID 제공자를 생성하기 시작합니다.
    1. vSphere Client를 사용하여 vCenter Server에 관리자로 로그인합니다.
    2. > 관리 > Single Sign On > 구성으로 이동합니다.
    3. 제공자 변경을 클릭하고 ADFS를 선택합니다.
      기본 ID 제공자 구성 마법사가 열립니다.
    4. 사전 요구 사항 패널에서 AD FS 및 vCenter Server 요구 사항을 검토합니다.
    5. 사전 검사 실행을 클릭합니다.
      사전 검사에서 오류가 발견되면 세부 정보 보기를 클릭하고 표시된 대로 오류를 해결하는 단계를 수행합니다.
    6. 사전 검사가 통과되면 확인란을 클릭하고 다음을 클릭합니다.
    7. 사용자 및 그룹 패널에서 LDAP를 통한 Active Directory 연결의 사용자 및 그룹 정보를 입력하여 사용자 및 그룹을 검색합니다.
      vCenter Server는 사용자의 기본 고유 이름에서 권한 부여 및 사용 권한에 사용할 AD 도메인을 파생합니다. 이 AD 도메인의 사용자 및 그룹에 대해서만 vSphere 개체에 대한 사용 권한을 추가할 수 있습니다. AD 하위 도메인 또는 AD 포리스트의 다른 도메인에 있는 사용자 또는 그룹은 vCenter Server ID 제공자 페더레이션에서 지원되지 않습니다.
      옵션 설명
      사용자의 기본 고유 이름 사용자의 기본 고유 이름입니다.
      그룹의 기본 고유 이름 그룹의 기본 고유 이름입니다.
      사용자 이름 도메인에서 사용자 및 그룹의 기본 DN에 대해 최소한 읽기 전용 액세스 권한이 있는 사용자의 ID입니다.
      암호 도메인에서 사용자 및 그룹의 기본 DN에 대해 최소한 읽기 전용 액세스 권한이 있는 사용자의 ID입니다.
      기본 서버 URL 도메인의 기본 도메인 컨트롤러 LDAP 서버입니다.

      ldap://hostname:port 또는 ldaps://hostname:port 형식을 사용합니다. 일반적으로 포트는 LDAP 연결의 경우 389이고 LDAPS 연결의 경우 636입니다. Active Directory 다중 도메인 컨트롤러 배포의 경우 일반적으로 포트는 LDAP의 경우 3268이고 LDAPS의 경우 3269입니다.

      기본 또는 보조 LDAP URL에 ldaps://를 사용하는 경우 Active Directory 서버의 LDAPS 끝점에 대한 신뢰를 설정하는 인증서가 필요합니다.

      보조 서버 URL 페일오버에서 사용되는 보조 도메인 컨트롤러 LDAP 서버의 주소입니다.
      SSL 인증서 Active Directory LDAP 서버 또는 OpenLDAP 서버 ID 소스와 함께 LDAPS를 사용하려는 경우 찾아보기를 클릭하여 인증서를 선택합니다.
    8. 다음을 클릭합니다.
    9. OpenID Connect 패널에서 리디렉션 URI 및 로그아웃 리디렉션 URI를 복사합니다.
      지금은 다른 필드를 비워둡니다. 다음 단계에서 OpenID Connect 구성을 생성한 후 OpenID Connect 패널로 돌아갑니다.
  4. AD FS에서 OpenID Connect 구성을 생성하고 vCenter Server에 맞게 구성합니다.
    vCenter Server와 ID 제공자 간 당사자 신뢰를 설정하려면 서로 간에 식별 정보 및 공유 암호를 설정해야 합니다. AD FS에서는 서버 애플리케이션과 웹 API로 구성된, 애플리케이션 그룹이라고 하는 OpenID Connect 구성을 생성하여 이 작업을 수행합니다. 이 두 구성 요소는 AD FS 서버를 신뢰하고 이 서버와 통신하기 위해 vCenter Server에서 사용하는 정보를 지정합니다. AD FS에서 OpenID Connect를 사용하도록 설정하려면 https://kb.vmware.com/s/article/78029에서 VMware 기술 자료 문서를 참조하십시오.

    AD FS 애플리케이션 그룹을 생성할 때는 다음 내용에 유의하십시오.

    • 이전 단계에서 가져온 두 개의 vCenter Server 리디렉션 URI가 필요합니다.
    • 다음 단계에서 vCenter Server ID 제공자 생성을 완료할 때 사용할 수 있도록 AD FS 애플리케이션 그룹에서 다음 정보를 파일로 복사하거나 적어둡니다.
      • 클라이언트 식별자
      • 공유 암호
      • AD FS 서버의 OpenID 주소
    참고: 필요한 경우 다음 PowerShell 명령을 AD FS 관리자로 실행하여 AD FS 서버의 OpenID 주소를 가져옵니다. 
    Get-AdfsEndpoint | Select FullUrl | Select-String openid-configuration

    반환된 URL을 복사합니다(닫는 괄호 또는 초기 "@{FullUrl=" 부분이 아닌 URL 자체만 선택).

  5. vCenter Server OpenID Connect 패널에서:
    1. AD FS 애플리케이션 그룹을 만들 때 이전 단계에서 확보한 다음 정보를 입력합니다.
      • 클라이언트 식별자
      • 공유 암호
      • OpenID 주소

      ID 제공자 이름은 자동으로 Microsoft ADFS로 채워집니다.

    2. 다음을 클릭합니다.
  6. 정보를 검토하고 마침을 클릭합니다.
    vCenter Server는 AD FS ID 제공자를 생성하고 구성 정보를 표시합니다.
  7. AD FS 인증을 위해 vCenter Server에서 그룹 멤버 자격을 구성합니다.
    1. 메뉴에서 관리를 선택합니다.
    2. Single Sign-On에서 사용자 및 그룹을 클릭합니다.
    3. 그룹 탭을 클릭합니다.
    4. 관리자 그룹을 클릭하고 멤버 추가를 클릭합니다.
    5. 드롭다운 메뉴에서 도메인을 선택합니다.
    6. 드롭다운 메뉴 아래의 텍스트 상자에 추가하려는 AD FS 그룹의 처음 몇 자를 입력한 다음, 드롭다운 선택 항목이 나타날 때까지 기다립니다.
      vCenter Server가 Active Directory에 연결을 설정하고 검색하는 동안 선택 항목이 나타나려면 몇 초 정도 걸릴 수 있습니다.
    7. AD FS 그룹을 선택하여 관리자 그룹에 추가합니다.
    8. 저장을 클릭합니다.
  8. Active Directory 사용자로 vCenter Server에 로그인되는지 확인합니다.