다른 시스템에 있는 사용자 계정 정보를 가져오는 경우에는 소스 시스템에서 사용자 계정을 가져올 때 사용할 기준을 정의해야 합니다.

인증 소스를 추가하거나 편집할 수 있는 위치

  1. 인증 소스를 추가하려면 왼쪽 메뉴에서 관리를 클릭한 다음 인증 소스를 클릭합니다.
  2. 추가를 클릭합니다.
  3. 인증 소스를 편집하려면 편집을 클릭합니다.
표 1. 인증 소스 사용자 및 그룹 가져오기용 소스 추가
옵션 설명
소스 표시 이름 인증 소스에 할당할 이름입니다.
소스 유형
참고: 소스 유형 드롭다운 상자에서 선택하는 옵션에 따라 이 대화상자에서 사용할 수 있는 옵션이 결정됩니다.
사용자 계정의 데이터베이스가 있는 소스 시스템에 액세스하는 디렉토리 서비스 액세스 기술의 유형을 나타냅니다. LDAP와 SSO(Single Sign-On)의 두 가지 데이터베이스 유형이 있습니다. 옵션은 다음과 같습니다.
  • SSO SAML: 사용자가 여러 애플리케이션에 SSO(Single Sign-On)를 수행할 수 있도록 하는 웹 브라우저 SSO(Single Sign-On)에 대한 XML 기반 표준입니다.
  • Open LDAP: 사용자 계정을 가져올 다른 시스템의 LDAP 데이터베이스에 대한 액세스를 제공하는 플랫폼에 독립적인 프로토콜입니다.
  • 기타: Linux Mac 시스템의 LDAP 데이터베이스에서 사용자 계정을 가져오는 데 사용된 다른 LDAP 기반 디렉토리 서비스(예: Novel 또는 OpenDJ)를 지정합니다.
  • VMware Identity Manager: 사용자와 그룹을 관리하고, 리소스와 사용자 인증을 관리하고 정책에 액세스하고 사용자에게 리소스의 사용 권한을 부여할 수 있는 플랫폼입니다.
표 2. 인증 소스 사용자 및 그룹 가져오기용 소스 추가 - SSO SAML을 선택한 경우 사용할 수 있는 옵션입니다.
이름 설명
호스트 SSO(Single Sign-On) 사용자 서버가 있는 호스트 시스템의 이름 또는 IP 주소입니다.
포트 SSO(Single Sign-On) 수신 포트입니다. 기본적으로 443으로 설정됩니다.
사용자 이름 SSO(Single Sign-On) 호스트 시스템에 로그인할 수 있는 사용자 계정의 이름입니다.
비밀번호 SSO(Single Sign-On) 호스트 시스템에 로그인할 수 있는 사용자 계정의 비밀번호입니다.
향후 구성을 위해 vRealize Operations에 관리자 역할을 부여하시겠습니까? SSO(Single Sign-On) 소스를 생성하면 새 vRealize Operations 사용자 계정이 SSO(Single Sign-On) 서버에 생성됩니다.
  • 를 선택하면 vRealize Operations에 관리자 역할이 부여되고 vRealize Operations 설정이 변경된 경우 SSO 소스를 구성할 때 해당 역할이 사용됩니다.
  • 아니요를 선택하면 vRealize Operations 설정이 변경된 경우 SSO 소스를 등록해야 SSO 사용자가 로그인할 수 있습니다.
자동으로 vRealize Operations의 SSO(Single Sign-On) URL로 리디렉션하시겠습니까? SSO(Single Sign-On) 소스를 구성한 후 사용자가 vCenter SSO 서버로 리디렉션됩니다.
  • 를 선택하면 사용자가 인증을 위해 SSO(Single Sign-On) 서버로 리디렉션됩니다.
  • 아니요를 선택하면 사용자가 vRealize Operations 로그인 페이지에서 로그인해야 합니다.
현재 소스를 추가한 후에 SSO(Single Sign-On) 사용자 그룹을 가져오시겠습니까? SSO(Single Sign-On) 소스를 설정한 경우 SSO(Single Sign-On) 사용자가 해당하는 SSO(Single Sign-On) 권한으로 시스템에 액세스할 수 있도록 사용자 그룹을 vRealize Operations로 가져옵니다.
  • 를 선택할 경우 마법사에서 SSO 소스 설정을 마치면 사용자 그룹 가져오기 페이지로 이동하여 사용자 그룹을 가져올 수 있습니다.
  • 이후 단계에서 사용자 계정 또는 사용자 그룹을 가져오려면 아니요를 선택합니다.
고급 시스템에서 로드 밸런서가 사용되는 경우 로드 밸런서의 IP 주소를 입력합니다.
테스트

제공된 자격 증명으로 호스트 시스템에 연결할 수 있는지 여부를 테스트합니다.

표 3. 인증 소스 사용자 및 그룹 가져오기용 소스 추가 - Open LDAP, Active Directory기타를 선택한 경우 사용할 수 있는 옵션입니다.
옵션 설명

통합 모드 기본 설정

LDAP 가져오기 소스를 vRealize Operations의 인스턴스와 통합하기 위한 기본 설정을 적용합니다.

기본 통합 모드를 사용하여 vRealize Operations가 LDAP 데이터베이스가 있는 호스트 시스템을 검색하고 사용자를 검색하는 데 사용되는 기본 고유 이름(기본 DN)을 설정합니다. vRealize Operations가 호스트와 기본 DN 세부 정보를 채우는 데 사용하는 도메인 및 하위 도메인의 이름과 LDAP 호스트 시스템에 로그인할 수 있는 사용자의 이름 및 비밀번호를 제공해야 합니다.

기본 모드에서는 SSL/TLS 활성화 서버에 우선 순위를 두어 DNS 서버에서 호스트 및 포트 가져오기를 시도하고, 도메인에 대한 GC(Global Catalog) 및 도메인 컨트롤러를 얻으려고 시도합니다.

  • 도메인/하위 도메인. LDAP 사용자 계정의 도메인 정보입니다.
    참고: 여러 하위 도메인에서 사용자 및 그룹을 가져오려면 하위 도메인 대신 루트 domain.com을 사용합니다. 하위 도메인을 사용하면 해당 특정 하위 도메인의 그룹 및 사용자만 vRealize Operations에 표시되도록 제한됩니다.
  • SSL/TLS 사용. 이 옵션을 선택한 경우 LDAP 데이터베이스에서 사용자를 가져올 때 vRealize Operations가 SSL/TLS(Secure Sockets Layer/Transport Layer Security) 프로토콜을 사용하여 보안 통신을 제공합니다. 이 경우 SSL/TLS 인증서를 설치할 필요가 없습니다. 대신 vRealize Operations에서 지문을 보고 확인한 후 LDAP 서버 인증서를 수락하라는 메시지를 표시합니다. 인증서를 수락하면 LDAP 통신이 진행됩니다.
  • Active Directory가 자체 서명 인증서를 사용하는 경우 인증서에 주체 대체 이름 필드가 포함되어야 합니다. vRealize Operations주체 대체 이름 필드에 제공된 호스트 이름 또는 IP 주소가 인증서가 사용되는 도메인 컨트롤러 주소와 일치하는 경우에만 Active Directory 인증서를 확인하고 Active Directory와 통합할 수 있습니다.
  • 사용자 이름. LDAP 호스트 시스템에 로그인할 수 있는 사용자 계정의 이름입니다.
  • 비밀번호 재설정. LDAP 호스트 시스템에 로그인할 수 있는 사용자 계정의 비밀번호를 재설정합니다.
  • 구성된 그룹에 대해 사용자 구성원 자격을 자동으로 동기화합니다. 이 옵션을 선택하면 vRealize Operations가 가져온 LDAP 사용자를 사용자 그룹에 매핑할 수 있습니다.
  • 호스트. LDAP 사용자 데이터베이스가 있는 호스트 시스템의 이름 또는 IP 주소입니다.
  • 포트. 가져오기에 사용되는 포트입니다. SSL/TLS를 사용하지 않는 경우 포트 389를 사용하거나, SSL/TLS를 사용하는 경우 포트 636 또는 원하는 다른 포트 번호를 사용하십시오. 비SSL/TLS의 경우 GC(Global Catalog) 포트가 3268이고, SSL/TLS의 경우 3269입니다.
  • 기본 DN. 사용자 검색의 기본 고유 이름입니다. vRealize Operations는 기본 DN 내 사용자만 찾습니다. 기본 DN은 가져온 사용자의 DN(고유 이름)에 대한 기초 항목으로, 이는 사용자 계정의 전체 경로와 같은 다른 관련 정보 또는 관련 도메인 구성 요소를 포함할 필요가 없는 기본적인 사용자 이름 항목입니다. vRealize Operations가 기본 DN을 채우지만 관리자가 기본 DN을 확인한 다음 LDAP 구성을 저장해야 합니다.
  • 일반 이름. 사용자 이름을 식별하는 데 사용되는 LDAP 특성입니다. Active Directory의 기본 특성은 userPrincipalName입니다.

통합 모드 고급 설정

LDAP 가져오기 소스를 vRealize Operations의 인스턴스와 통합하기 위한 고급 설정을 적용합니다.

고급 통합 모드를 사용하여 vRealize Operations가 사용자를 가져오는 데 필요한 호스트 이름과 기본 고유 이름(기본 DN)을 수동으로 제공합니다. LDAP 호스트 시스템에 로그인할 수 있는 사용자의 이름 및 비밀번호를 제공해야 합니다.

  • 호스트. LDAP 사용자 데이터베이스가 있는 호스트 시스템의 이름 또는 IP 주소입니다.
  • SSL/TLS 사용. 이 옵션을 선택한 경우 LDAP 데이터베이스에서 사용자를 가져올 때 vRealize Operations가 SSL/TLS(Secure Sockets Layer/Transport Layer Security) 프로토콜을 사용하여 보안 통신을 제공합니다. 이 경우 SSL/TLS 인증서를 설치할 필요가 없습니다. 대신 vRealize Operations에서 지문을 보고 확인한 후 LDAP 서버 인증서를 수락하라는 메시지를 표시합니다. 인증서를 수락하면 LDAP 통신이 진행됩니다.
  • Active Directory가 자체 서명 인증서를 사용하는 경우 인증서에 주체 대체 이름 필드가 포함되어야 합니다. vRealize Operations주체 대체 이름 필드에 제공된 호스트 이름 또는 IP 주소가 인증서가 사용되는 도메인 컨트롤러 주소와 일치하는 경우에만 Active Directory 인증서를 확인하고 Active Directory와 통합할 수 있습니다.
  • 기본 DN. 사용자 검색의 기본 고유 이름입니다. vRealize Operations는 기본 DN 아래에 있는 사용자만 찾습니다. 기본 DN은 가져온 사용자의 DN(고유 이름)에 대한 기초 항목으로, 이는 사용자 계정의 전체 경로와 같은 다른 관련 정보 또는 관련 도메인 구성 요소를 포함할 필요가 없는 기본적인 사용자 이름 항목입니다. vRealize Operations가 기본 DN을 채우지만 관리자가 기본 DN을 확인한 다음 LDAP 구성을 저장해야 합니다.
  • 사용자 이름. LDAP 호스트 시스템에 로그인할 수 있는 사용자 계정의 이름입니다.
  • 비밀번호 재설정. LDAP 호스트 시스템에 로그인할 수 있는 사용자 계정의 비밀번호를 재설정합니다.
  • 구성된 그룹에 대해 사용자 구성원 자격을 자동으로 동기화합니다. 이 옵션을 선택하면 vRealize Operations가 가져온 LDAP 사용자를 사용자 그룹에 매핑할 수 있습니다.
  • 일반 이름. 사용자 이름을 식별하는 데 사용되는 LDAP 특성입니다. Active Directory의 기본 특성은 userPrincipalName입니다.
  • 포트. 가져오기에 사용되는 포트입니다. SSL/TLS를 사용하지 않는 경우 포트 389를 사용하거나, SSL/TLS를 사용하는 경우 포트 636 또는 원하는 다른 포트 번호를 사용하십시오. 비SSL/TLS의 경우 GC(Global Catalog) 포트가 3268이고, SSL/TLS의 경우 3269입니다.

검색 기준

검색 기준 설정을 표시합니다.

vRealize Operations가 검색 기준의 일부를 채우게 되지만 관리자는 LDAP 유형의 속성에 따라 설정이 올바른지 확인해야 합니다.

  • 그룹 검색 기준. LDAP 그룹을 찾을 때 사용할 검색 기준입니다. 포함하지 않을 경우 vRealize Operations(|(objectClass=group)(objectClass=groupOfNames)) 기본 검색 매개 변수를 사용합니다.
  • 구성원 특성. 구성원 목록을 포함하는 그룹 개체의 특성 이름입니다. 포함하지 않을 경우 vRealize Operations는 기본적으로 구성원을 사용합니다.
  • 사용자 검색 기준. 구성원 필드를 사용하여 LDAP 사용자를 찾고 캐시할 때 사용할 검색 기준입니다. 키=값 쌍 집합을 (|(key1=value1)(key2=value2)) 형식으로 입력합니다. 포함하지 않을 경우 vRealize Operations는 각 사용자를 별도로 검색합니다. 이 작업에는 추가 시간이 들 수 있습니다.
  • 구성원 일치 필드. 그룹 개체의 구성원 항목과 일치시킬 사용자 개체의 특성 이름입니다. 포함하지 않을 경우 vRealize Operations는 구성원 항목을 고유 이름으로 처리합니다.
  • LDAP 컨텍스트 특성. vRealize Operations가 LDAP 컨텍스트 환경에 적용하는 특성입니다. 키=값 쌍 집합을 쉼표로 구분하여 입력합니다(예: java.naming.referral=ignore,java.naming.ldap.deleteRDNfalse).

테스트

제공된 자격 증명으로 호스트 시스템에 연결할 수 있는지 여부를 테스트합니다. 연결 테스트에 성공하는 경우에도 검색 기능을 사용하는 사용자는 LDAP 소스의 읽기 권한을 가지고 있어야 합니다.

이 테스트는 기본 DN 또는 일반 이름 항목의 정확성을 확인하지 않습니다.

표 4. 인증 소스 사용자 및 그룹 가져오기용 소스 추가 - VMware Identity Manager를 선택한 경우 사용할 수 있는 옵션입니다.
옵션 설명
호스트 SSO(Single Sign-On) 사용자 서버가 있는 VMware Identity Manager 시스템의 이름 또는 IP 주소입니다.
포트 SSO(Single Sign-On) 수신 포트입니다. 기본적으로 443으로 설정됩니다.
테넌트 이 필드는 선택 사항입니다.
사용자 이름 VMware Identity Manager 시스템 도메인 테넌트 관리자의 사용자 이름입니다.
비밀번호 VMware Identity Manager 시스템 도메인 테넌트 관리자의 비밀번호입니다.
리디렉션 IP/FQDN

VMware Identity Manager 인증이 성공한 후 사용자가 리디렉션되는 vRealize Operations 노드의 IP 주소입니다. vRealize Operations 기본 노드의 IP 주소가 기본적으로 설정됩니다.

참고: 기본 복제가 vRealize Operations에서 기본 노드가 되면 vRealize Operations 관리자는 IP 주소를 수작업으로 편집하여 현재 기본 노드의 IP 주소로 설정해야 합니다.
테스트

제공된 자격 증명으로VMware Identity Manager 시스템에 연결할 수 있는지 여부를 테스트합니다.