vSphere 7.0 이상을 설치하거나 업그레이드한 후 AD FS에 대한 vCenter Server ID 제공자 페더레이션을 외부 ID 제공자로 구성할 수 있습니다.
vCenter Server는 구성된 외부 ID 제공자(하나의 소스)와 vsphere.local ID 소스를 하나만 지원합니다. 외부 ID 제공자를 여러 개 사용할 수 없습니다. vCenter Server ID 제공자 페더레이션은 OIDC(OpenID Connect)를 사용하여 사용자가 vCenter Server에 로그인되도록 합니다.
이 작업에서는 사용 권한을 제어하는 방법으로 AD FS 그룹을 vSphere 관리자 그룹에 추가하는 방법을 설명합니다. vCenter Server에서 글로벌 또는 개체 사용 권한을 통해 AD FS 인증을 사용하여 권한을 구성할 수도 있습니다. 사용 권한 추가에 대한 자세한 내용은 "vSphere 보안" 설명서를 참조하십시오.
이전에 vCenter Server에 추가한 Active Directory ID 소스를 AD FS ID 소스로 사용하는 경우에는 vCenter Server에서 기존 ID 소스를 삭제하지 마십시오. 그렇게 하면 이전에 할당된 역할 및 그룹 멤버 자격으로 회귀가 발생합니다. 글로벌 사용 권한이 있는 AD FS 사용자와 관리자 그룹에 추가된 사용자가 모두 로그인할 수 없습니다.
해결 방법: 이전에 할당된 역할 및 그룹 멤버 자격이 필요하지 않은 경우 이전 Active Directory ID 소스를 제거하려면, AD FS 제공자를 생성하고 vCenter Server에서 그룹 멤버 자격을 구성하기 전에 ID 소스를 제거합니다.
사전 요구 사항
Active Directory Federation Service 요구 사항:
- Windows Server 2016 이상용 AD FS가 이미 배포되어 있어야 합니다.
- AD FS가 Active Directory에 연결되어 있어야 합니다.
- 구성 프로세스의 일환으로 AD FS에서 vCenter Server용 애플리케이션 그룹을 생성해야 합니다. VMware 기술 자료 문서(https://kb.vmware.com/s/article/78029)를 참조하십시오.
- 신뢰할 수 있는 루트 인증서 저장소에 추가하는 AD FS 서버 인증서(또는 AD FS 서버 인증서에 서명한 CA 또는 중간 인증서).
- vCenter Server 관리자 권한을 부여하려는 사용자가 포함된 vCenter Server 관리자 그룹을 AD FS에 생성했습니다.
AD FS 구성에 대한 자세한 내용은 Microsoft 설명서를 참조하십시오.
vCenter Server 및 기타 요구 사항:
- vSphere 7.0 이상
- vCenter Server는 AD FS 검색 끝점, 권한 부여, 토큰, 로그아웃, JWKS 및 검색 끝점 메타데이터에 보급된 기타 끝점에 연결할 수 있어야 합니다.
- 페더레이션 인증에 필요한 vCenter Server ID 제공자를 생성, 업데이트 또는 삭제하려면 권한이 필요합니다. 사용자가 ID 제공자 구성 정보만 보도록 제한하려면 권한을 할당합니다.