ID 제공자와 Active Directory Federated Services 사이의 양방향 신뢰 관계를 구성하여 기본 vRealize Automation Active Directory 연결의 시스템 보안을 향상시킬 수 있습니다.

이 태스크 정보

vRealize Automation과 Active Directory 간에 양방향 신뢰 관계를 구성하려면 사용자 지정 ID 제공자를 생성하고 Active Directory 메타데이터를 이 제공자에 추가해야 합니다. 또한 vRealize Automation 배포에서 사용하는 기본 정책을 수정해야 합니다. 마지막으로 ID 제공자를 인식하도록 Active Directory를 구성해야 합니다.

필수 조건

  • vRealize Automation 배포를 위한 테넌트를 구성했고 기본 Active Directory 사용자 ID 및 암호 인증을 지원하도록 적절한 Active Directory 링크를 설정했는지 확인합니다.

  • 네트워크에서 사용할 Active Directory를 설치하고 구성합니다.

  • 적절한 ADFS(Active Directory Federated Services) 메타데이터를 가져옵니다.

  • 테넌트 관리자vRealize Automation 콘솔에 로그인합니다.

프로시저

  1. 페더레이션 메타데이터 파일을 가져옵니다.

    이 파일은 https://servername.domain/FederationMetadata/2007-06/FederationMetadata.xml에서 다운로드할 수 있습니다.

  2. logout이라는 단어를 찾아 https://servername.domain/adfs/ls/logout.aspx를 가리키도록 각 인스턴스의 위치를 편집합니다.

    예를 들어, 다음:

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/ "/> 
    			 

    위의 내용을 다음과 같이 변경해야 합니다.

    SingleLogoutService
    				Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    				Location="https://servername.domain/adfs/ls/logout.aspx"/> 
    			 
  3. 배포를 위한 새 ID 제공자를 생성합니다.
    1. 관리 > 디렉토리 관리 > ID 제공자를 선택합니다.
    2. ID 제공자 추가를 클릭하여 필드를 적절하게 완료합니다.

      옵션

      설명

      ID 제공자 이름

      새 ID 제공자 이름 입력

      ID 제공자 메타데이터(URI 또는 XML)

      Active Directory Federated Services 메타데이터 파일의 컨텐츠를 여기에 붙여넣습니다.

      SAML 요청의 ID 정책 이름 지정(선택 사항)

      적절한 경우 ID 정책 SAML 요청의 이름을 입력합니다.

      사용자

      사용자가 액세스 권한을 갖게 하려는 도메인을 선택합니다.

      IDP 메타데이터 처리

      추가한 메타데이터 파일을 클릭하여 처리합니다.

      네트워크

      사용자가 액세스 권한을 갖게 하려는 네트워크 범위를 선택합니다.

      인증 방법

      이 ID 제공자에 의해 사용된 인증 방법의 이름을 입력합니다.

      SAML 컨텍스트

      시스템에 적합한 컨텍스트를 선택합니다.

      SAML 서명 인증서

      디렉토리 관리 메타데이터를 다운로드하려면 SAML 메타데이터 머리글 옆의 링크를 클릭합니다.

    3. 디렉토리 관리 메타데이터 파일을 sp.xml로 저장합니다.
    4. 추가를 클릭합니다.
  4. 기본 정책에 규칙을 추가합니다.
    1. 관리 > 디렉토리 관리 > 정책을 선택합니다.
    2. 기본 정책 이름을 클릭합니다.
    3. 정책 규칙 머리글 아래에서 + 아이콘을 클릭하여 새 규칙을 추가합니다.

      특정 네트워크 범위 및 디바이스에 사용할 적절한 기본 인증과 보조 인증을 지정하는 규칙을 생성하려면 [정책 규칙 추가] 페이지의 필드를 사용합니다.

      예를 들어 네트워크 범위가 내 시스템이고 모든 디바이스 유형의 컨텐츠에 액세스해야 한다면 일반 배포의 경우 ADFS 사용자 이름 및 암호 방법을 사용하여 인증해야 합니다.

    4. 저장을 클릭하여 정책 업데이트를 저장합니다.
    5. 기본 정책 페이지에서 새 규칙을 테이블 맨 위로 끌어 이 규칙이 기존 규칙에 우선하도록 지정합니다.
  5. ADFS(Active Directory Federated Services) 관리 콘솔 또는 다른 적절한 도구를 사용하여 관련 당사자와 vRealize Automation ID 제공자 간 신뢰 관계를 설정합니다.

    이러한 신뢰를 설정하려면 이전에 다운로드한 디렉토리 관리 메타데이터를 가져와야 합니다. 양방향 신뢰 관계를 위한 ADFS(Active Directory Federated Services) 구성에 관한 자세한 내용은 Microsoft Active Directory 설명서를 참조하십시오. 이러한 프로세스의 일부로 다음을 수행해야 합니다.

    • 관련 당사자의 신뢰를 설정합니다. 이러한 신뢰를 설정하려면 복사 및 저장한 VMware ID 제공자 서비스 제공자 메타데이터 XML 파일을 가져와야 합니다.

    • 특성 가져오기 규칙의 LDAP에서 검색된 특성을 원하는 SAML 형식으로 변환하는 할당 규칙을 생성합니다. 규칙을 생성한 후에는 다음 텍스트를 추가하여 규칙을 편집합니다.

      c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"] 
      => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "vmwareidentity.domain.com");