Okta, Microsoft Entra ID 또는 PingFederate를 사용하는 고급 연결 모드 구성의 가용성 고려 사항에 대해 자세히 알아봅니다.

사전 요구 사항

  • 고급 연결 모드 구성에서 둘 이상의 vCenter Server 시스템. 예를 들어 시스템에는 VC_1, VC_2, VC_3 ~ VC_N이라는 레이블이 지정되며, 여기서 N은 고급 연결 모드 구성의 vCenter Server 시스템 수입니다.
  • Okta 및 Microsoft Entra ID의 경우 모든 vCenter Server 시스템은 vSphere 8.0 업데이트 2 이상을 실행해야 합니다. PingFederate의 경우 모든 vCenter Server 시스템은 최소한 vSphere 8.0 업데이트 3을 실행해야 합니다.
  • Okta, Microsoft Entra ID 또는 PingFederate는 vCenter Server 시스템 중 하나에서 외부 ID 제공자로 구성됩니다. 예를 들어 시스템에는 VC_1이라는 레이블이 지정됩니다.
  • 외부 ID 제공자는 모든 필수 OAuth2 및 SCIM 애플리케이션으로 구성됩니다.

프로시저

  1. 지정된 vCenter Server VC_i(여기서 i는 2와 N 사이)를 활성화하려면 다음을 수행합니다.
    1. 활성화 스크립트를 실행하기 위해 VC_i에 대한 로컬 셸 액세스 권한을 확보합니다.
      참고: 아래 단계를 수행하기 위해 명령줄 또는 콘솔 프롬프트에서 관리 권한이 있는 vCenter Server 사용자 계정을 부여할 수 있습니다.
    2. 활성화 스크립트에서 'status'를 실행하여 vCenter Server의 현재 활성화 상태를 가져옵니다. 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py status
    3. 'status' 명령이 vCenter Server가 활성화되지 않았음을 나타내는 활성화 스크립트에서 'activate'를 실행합니다. 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py activate
    4. 'status' 명령이 vCenter Server가 이미 활성화되어 있음을 나타내면 'deactivate' 옵션을 실행한 다음, 'activate' 옵션을 실행합니다. 
      python /usr/lib/vmware-trustmanagement/vmware_identity_services_activation.py deactivate
      • 예를 들어 'activate' 옵션을 실행합니다.
      • 또는 'activate' 명령에서 '--force-replace' 옵션을 지정할 수 있습니다.
  2. 브라우저에서 vCenter Server VC_i를 열고 vCenter Server에 관리자로 로그인합니다.
    1. 홈 > 관리 > Single Sign-On > 구성으로 이동합니다.
    2. 사용자 프로비저닝에서 테넌트 URL에 VC_i의 FQDN이 포함되어 있는지 확인합니다.
    3. 테넌트 URL 문자열을 복사하고 이 정보를 외부 ID 제공자와 함께 사용할 수 있도록 저장합니다.
    4. 비밀 토큰 아래에서 생성을 클릭하고 생성된 토큰 문자열을 복사한 후 외부 ID 제공자와 함께 사용할 수 있도록 이 정보를 저장합니다.
    5. OpenID Connect 아래에서 리디렉션 URI에 VC_i의 FQDN이 포함되어 있는지 확인합니다.
    6. 리디렉션 URI 문자열을 복사하고 이 정보를 외부 ID 제공자와 함께 사용하기 위해 저장합니다.
  3. 브라우저를 열고 외부 ID 제공자의 관리 페이지로 이동합니다.
    참고: 자세한 내용은 외부 ID 제공자 관련 세부 정보를 참조하여 다음 단계를 수행하십시오.
    1. 외부 ID 제공자가 원래 VC_1 구성되었을 때 설정된 OAuth2 등록을 찾습니다.
    2. OAuth2 등록을 편집하고 이전에 VC_i 대해 가져온 리디렉션 URI를 추가합니다.
    3. 외부 ID 제공자가 대상이 여러 개인 SCIM 푸시 구성을 지원하는 경우에는:
      • 외부 ID 제공자가 원래 VC_1 구성되었을 때 설정된 SCIM 푸시 구성을 찾습니다.
      • SCIM 푸시 구성을 편집하고 이전에 VC_i에 대해 가져온 테넌트 URL비밀 토큰을 추가합니다.
    4. 외부 ID 제공자가 대상이 하나뿐인 SCIM 푸시 구성을 지원하는 경우:
      • 이전에 VC_i에 대해 가져온 테넌트 URL비밀 토큰을 사용하여 새 SCIM 푸시 구성을 생성합니다.
      • SCIM 푸시 구성이 외부 ID 제공자가 원래 VC_1 구성되었을 때 설정된 SCIM 푸시 구성과 동일한 사용자/그룹 데이터를 푸시하는지 확인합니다.
    5. VC_I 최신 사용자 또는 그룹 데이터로 채워지도록 SCIM 푸시 작업을 시작합니다.