vRealize Automation Directories Management 및 SSO2를 사용하는 시스템 간에 페더레이션을 설정할 수 있습니다.

시작하기 전에

  • vRealize Automation 배포를 위한 테넌트를 구성했고 기본 Active Directory 사용자 ID 및 암호 인증을 지원하는 적절한 Active Directory 링크를 설정했습니다.

  • 네트워크에서 사용할 Active Directory를 설치하고 구성합니다.

  • 적절한 ADFS(Active Directory Federated Services) 메타데이터를 가져옵니다.

  • 테넌트 관리자vRealize Automation 콘솔에 로그인합니다.

이 태스크 정보

두 당사자 간에 SAML 연결을 생성하여 Directories Management 및 SSO2 간 페더레이션을 설정합니다. 현재 지원되는 유일한 종단 간 흐름은 SSO2가 ID 제공자(Idp) 역할을, Directories Management가 서비스 제공자(SP) 역할을 하는 것입니다.

SSO2에 의해 인증되는 사용자의 경우 동일한 계정이 Directories Management와 SSO2에 모두 존재해야 합니다. 최소한 사용자의 UPN(사용자 계정 이름)이 양쪽 끝에서 일치해야 합니다. 다른 특성은 SAML 제목을 식별하는 데 필요하기 때문에 다를 수 있습니다.

admin@vsphere.local과 같은 SSO2의 로컬 사용자인 경우, 해당하는 계정이 Directories Management에서도 생성되어야 합니다(여기서 최소한 사용자의 UPN이 일치해야 함). 현재로서는 이러한 작업을 수동으로 수행하거나 Directories Management 로컬 사용자 생성 API를 사용하는 스크립트를 통해 수행해야 합니다.

SSO2 및 Directories Management 간 SAML 설정에는 디렉토리 관리와 SSO 구성 요소에 대한 구성이 포함됩니다.

표 1. SAML 페더레이션 구성 요소 구성

구성 요소

구성

디렉토리 관리

SSO2를 Directories Management의 타사 ID 제공자로 구성하고 기본 인증 정책을 업데이트합니다. 자동화된 스크립트를 생성하여 Directories Management를 설정할 수 있습니다.

SSO2 구성 요소

Directories Management sp.xml 파일을 가져와서 Directories Management를 서비스 제공자로 구성합니다. 이 파일을 사용하면 Directories Management를 SP(서비스 제공자)로 사용하도록 SSO2를 구성할 수 있습니다.

프로시저

  1. SSO2 사용자 인터페이스를 통해 SSO2 ID 제공자 메타데이터를 다운로드합니다.
    1. https://<cloudvm-hostnamte>/에서 관리자로 vCenter에 로그인합니다.
    2. [vSphere Web Client에 로그인] 링크를 클릭합니다.
    3. 왼쪽 탐색 창에서 관리 > Single Sign-On > 구성을 선택합니다.
    4. SAML 서비스 제공자 머리글 메타데이터에 인접한 위치에서 다운로드를 클릭합니다.

      vsphere.local.xml 파일의 다운로드가 시작됩니다.

    5. vsphere.local.xml 파일의 컨텐츠를 복사합니다.
  2. [vRealize Automation 디렉토리 관리 ID 제공자] 페이지를 사용하여 새 ID 제공자를 생성합니다.
    1. 테넌트 관리자vRealize Automation에 로그인합니다.
    2. 관리 > 디렉토리 관리 > ID 제공자를 선택합니다.
    3. ID 제공자 추가를 클릭합니다.
    4. ID 제공자 이름 텍스트 상자에 새 ID 제공자의 이름을 입력합니다.
    5. SSO2 idp.xml 메타데이터 파일의 컨텐츠를 ID 제공자 메타데이터(URI 또는 XML) 텍스트 상자에 붙여 넣습니다.
    6. IDP 메타데이터 처리를 클릭합니다.
    7. SAML 요청의 이름 ID 정책(선택 사항) 텍스트 상자에 다음을 입력합니다.

      http://schemas.xmlsoap.org/claims/UPN

    8. 사용자 텍스트 상자에서 사용자에게 액세스 권한을 부여할 도메인을 선택합니다.
    9. 네트워크 텍스트 상자에서 이 ID 제공자에 대한 액세스 권한을 부여할 사용자의 네트워크 범위를 선택합니다.

      모든 IP 주소의 사용자를 인증하려면 모든 범위를 선택합니다.

    10. 인증 방법 텍스트 상자에 인증 방법의 이름을 입력합니다.
    11. 인증 방법 텍스트 상자 오른쪽에서 SAML 컨텍스트 드롭다운 메뉴를 사용하여 인증 방법을 urn:oasis:names:tc:SAML:2.0:ac:classes:Password에 매핑합니다.
    12. SAML 서명 인증서 텍스트 상자 아래에서 SAML 메타데이터 머리글 옆의 링크를 클릭하여 디렉토리 관리 메타데이터를 다운로드합니다.
    13. 디렉토리 관리 메타데이터 파일을 sp.xml로 저장합니다.
    14. 추가를 클릭합니다.
  3. [디렉토리 관리 정책] 페이지를 사용하여 관련 인증 정책을 업데이트하고 타사 SSO2 ID 제공자로 인증을 리디렉션합니다.
    1. 관리 > 디렉토리 관리 > 정책을 선택합니다.
    2. 기본 정책 이름을 클릭합니다.
    3. 기존 인증 규칙을 편집하려면 정책 규칙 머리글 아래에서 인증 방법을 클릭합니다.

      [정책 규칙 편집] 페이지의 필드를 사용하여 암호에서 적절한 방법으로 인증 방법을 변경합니다. 이 경우 인증 방법은 SSO2가 됩니다.

    4. 저장을 클릭하여 정책 업데이트를 저장합니다.
  4. 왼쪽 탐색 창에서 관리 > Single Sign-On > 구성을 선택하고 업데이트를 클릭하여 sp.xml 파일을 vSphere에 업로드합니다.