주:

• 이 자습서에서는 Oracle Cloud에 액세스해야 합니다. 무료 계정에 등록하려면 Oracle Cloud Infrastructure Free Tier 시작하기를 참조하십시오.
• Oracle Cloud Infrastructure 자격 증명, 테넌시 및 구획에 예제 값을 사용합니다. 실습을 완료했으면 이러한 값을 자신의 클라우드 환경과 관련된 값으로 대체하십시오.

vCenter Server Identity Provider Federation을 OCI IAM for Oracle Cloud VMware Solution과 통합

소개

오늘날의 급속한 IT 환경에서는 시스템 간의 원활한 통합이 보안을 강화하고 관리를 단순화하는 데 필수적입니다. VMware vCenter Server Appliance(VCSA) 8.0 U2를 통해 관리자는 이제 ID 페더레이션을 위해 Oracle Cloud Infrastructure Identity and Access Management(OCI IAM)를 활용할 수 있습니다. 이 기능은 Oracle Cloud VMware Solution 고객이 환경에 대한 완벽한 제어를 통해 제한 없이 변경 사항을 구현할 수 있기 때문에 가능합니다. 이 통합을 사용으로 설정하면 인증 프로세스를 간소화하고 VMware 환경이 안전하고 규제를 준수하며 최신 ID 관리 관행에 부합하도록 보장하는 통합 액세스 제어 방식을 설정할 수 있습니다.

이 자습서에서는 VCSA 8.0 U2를 사용하는 조직을 위해 외부 ID 제공자를 채택할 때의 이점을 중점적으로 설명합니다. 조직은 OCI IAM과 같은 외부 ID 제공자와 통합하여 기존 ID 인프라를 활용하고 SSO(Single Sign-On) 프로세스를 간소화하며 다중 요소 인증을 통해 보안을 강화할 수 있습니다. 또한 이 통합은 인프라와 ID 관리 간의 업무 분리를 지원하여 보안 및 관리 효율성을 위한 모범 사례에 부합합니다.

구조

외부 ID 제공자 통합을 위한 아키텍처는 VMware Identity Services를 기반으로 하는 vCenter 전체에서 일관성을 유지합니다. 이 사용지침서에서는 OCI IAM ID 도메인을 활용하는 데 중점을 둡니다.

이 통합에는 2단계가 있습니다.

• 사용자 인증: OAuth

  사용자가 VCSA에 로그인하려고 하면 VMware Identity Services에서 시작한 OAuth 토큰 요청을 통해 인증 요청이 OCI IAM으로 원활하게 재지정됩니다. OCI IAM의 인증 및 검증에 성공하면 보안 토큰이 VMware ID 서비스로 반환되고, 이 ID 서비스는 지정된 권한에 따라 사용자에게 액세스 권한을 부여합니다.

  

• 사용자/그룹 푸시: SCIM(System for Cross-Domain Identity Management)

  OCI IAM은 Oracle Cloud Infrastructure 환경 내에서 사용자 및 그룹을 관리하는 역할을 담당하며, vCenter는 VMware 환경에서 가상 인프라를 관리합니다. 적합한 사용자가 vCenter에서 올바른 액세스 권한을 갖도록 하기 위해 SCIM 프로토콜을 사용하여 OCI IAM에서 vCenter로 사용자를 자동으로 프로비전, 업데이트 또는 프로비전 해제합니다. 사용자 또는 그룹이 OCI IAM에서 생성, 수정 또는 삭제되면 SCIM은 vCenter에서 해당 변경사항을 자동으로 동기화합니다. 따라서 두 시스템의 사용자 ID는 수동 개입 없이도 최신 상태로 유지됩니다.

  

  주: 그룹이 OCI IAM SCIM 애플리케이션에서 지정되면 해당 멤버가 VCSA로 프로비전되지만 그룹 자체는 생성되지 않습니다.

대상

OCI IAM 전문가, Oracle Integration 관리자, Oracle Cloud VMware Solution 관리자 및 VMware 관리자.

필요 조건

• OCI IAM 요구 사항:

  • OCI 테넌시에 액세스합니다.

  • OCI IAM의 SCIM 프로비저닝 프로세스가 vCenter에서 사용자 계정을 생성할 때 사용자의 sAMAccountName(예: jdoe)가 기본 식별자로 사용되므로 OCI IAM의 사용자는 사용자 이름 값을 sAMAccountName 형식(전자메일 또는 UPN 형식 아님)으로 가져야 합니다. 인증 프로세스 중 VCSA는 도메인 이름을 sAMAccountName에 자동으로 추가하여 정규화된 사용자 식별자를 구성합니다. 예를 들어, jdoe가 사용자 이름이고 도메인이 corp.example.com인 경우 VCSA에 사용된 결과 ID는 jdoe@corp.example.com가 됩니다.

  • OCI IAM에서 통합 애플리케이션을 생성할 수 있는 권한이 있어야 합니다. 자세한 내용은 Understanding Administrator Roles를 참조하십시오.

  • OCI IAM의 도메인 설정에서 서명 인증서 액세스에서 클라이언트 액세스를 사용으로 설정해야 합니다.

  • 퍼블릭 서브넷을 사용하는 VCN입니다.

  • CA(인증 기관) 번들 및 OCI API 게이트웨이 생성을 위한 적절한 OCI IAM 정책입니다.

• OCI IAM 및 vCenter 연결 요구 사항:

  • vCenter 서버는 OCI IAM OAuth 끝점에 도달할 수 있어야 합니다. Oracle Cloud VMware Solution을 배포하는 동안 기본적으로 vSphere VLAN(vCenter이 배포된 위치)이 NAT 게이트웨이에 이미 연결되어 있습니다.

  • OCI IAM이 vCenter SCIM API에 연결할 수 있는지 확인합니다. 이 연결은 OCI IAM과 vCenter SCIM API 간의 보안 통신을 용이하게 하는 프록시 역할을 하는 OCI API 게이트웨이 서비스를 사용하여 설정됩니다.

  • VCSA에 도달하려면 API 게이트웨이에 적절한 경로가 있어야 합니다. 이 사용지침서에서는 API 게이트웨이 서브넷과 vSphere VCSA VLAN이 모두 동일한 CIDR에 있습니다.

  주: vSphere VLAN 경로 테이블에 NAT 게이트웨이 경로가 포함되지 않은 경우 VCN에 새 NAT 게이트웨이를 생성하고 해당 경로 규칙을 추가하여 인터넷 액세스를 사용으로 설정해야 합니다.

작업 1: OCI IAM 도메인에 기밀 애플리케이션 등록

해당 OCI IAM 도메인에 기밀 애플리케이션을 등록합니다. 이 기밀 애플리케이션을 사용하여 액세스 토큰을 얻기 위해 OAuth 2.0 인증 코드 플로우를 사용합니다.

1. OCI 콘솔에 로그인한 후 ID 및 보안으로 이동하고 도메인을 누릅니다.

   

2. 도메인을 선택합니다.

   

3. 통합된 애플리케이션을 누르고 OAuth에 사용되는 기밀 애플리케이션을 선택한 다음 워크플로우 실행을 누릅니다.

   

   

4. 애플리케이션의 이름을 입력하고 다음을 누릅니다.

   

5. 클라이언트 구성 섹션에서 클라이언트 인증서를 선택합니다.

   

   주: 권한 부여 코드 및 재지정 URL을 사용으로 설정하지 않고 애플리케이션을 저장합니다. 작업 2에서 재지정 URL을 확보한 후 애플리케이션을 다시 업데이트합니다. 아래를 참조하십시오

   

6. 애플리케이션 워크플로우를 완료하고 활성화합니다. Client ID 및 Client Secret을 복사합니다.

   

7. 도메인 정보 페이지에서 도메인 URL을 복사합니다.

   

작업 2: vCenter 서버에서 ID 제공자 구성(IdP) 및 VCenter 인증서 다운로드

vCenter Server를 OCI IAM과 통합하여 사용자에 대해 SSO를 사용으로 설정합니다. 이 작업에서는 VCSA에서 IdP를 구성합니다. IdP가 구성되면 IdP 구성에 사용할 vCenter 인증서를 다운로드하여 vCenter와 OCI API 게이트웨이 간에 신뢰를 설정해야 합니다.

1. 관리자로 로그인하여 vCenter 서버에 로그인하고 홈, 관리, Single Sign On, 구성, ID 제공자, ID 소스로 이동합니다. 드롭다운 메뉴에서 Okta를 제공자 변경으로 선택합니다.

   

   참고: Okta IdP 템플리트를 사용하지만 OCI IAM 세부정보로 수정됩니다.

2. 필요 조건이 충족되었는지 확인하고 Next를 선택합니다.

   

3. 디렉토리 이름과 도메인 이름을 입력하고 다음을 누릅니다.

   

4. 드롭다운 메뉴에서 Token Lifespan 값을 선택하고 Next(토큰 수명)를 누릅니다.

   

5. OpenID Connect 섹션에서 재지정 URI를 복사하고 작업 1에 복사된 ID 제공자 이름, 클라이언트 식별자 및 비밀을 입력합니다.

   OpenID 주소에서 작업 1에서 복사한 도메인 URL을 사용하고 /.well-known/openid-configuration과 함께 추가합니다. 세부정보가 저장되면 다음을 누릅니다.

   참고: 작업 1 단계 5에서 언급한 대로 재지정 URI를 기록하고 OCI IAM에서 기밀 앱을 업데이트합니다.

   

6. ID 제공자 세부정보 섹션을 검토한 후 완료를 누릅니다.

   

7. 신뢰할 수 있는 루트 CA 인증서 다운로드를 눌러 vCenter에서 신뢰할 수 있는 루트 CA 인증서를 다운로드합니다.

   

작업 3: OCI IAM에서 SCIM 애플리케이션 생성

이 작업에서는 OCI IAM에 SCIM 2.0 애플리케이션을 생성하여 OCI IAM의 사용자를 vCenter 서버로 푸시할지 지정할 수 있습니다.

1. OCI 콘솔에 로그인하고, ID 및 보안으로 이동하고, 도메인을 선택하고, 통합 애플리케이션으로 이동하고, 애플리케이션 카탈로그를 선택하여 새 애플리케이션을 추가합니다.

   

2. 검색 도구 모음에 GenericSCIM - 지급자 토큰을 입력하고 타일을 선택합니다.

   

3. 애플리케이션 이름을 입력하고 다음을 누릅니다.

   

4. 제공 사용을 선택합니다.

   

5. vCenter URL은 퍼블릭 URL이 아니므로 OCI IAM이 vCenter SCIM API에 연결할 수 없습니다. vCenter SCIM API를 노출하기 위해 퍼블릭 OCI API 게이트웨이를 구성하고 vCenter SCIM API 경로를 추가합니다. 지금부터 프로비전 접속 구성 세부정보를 비워 두고 속성 매핑 섹션을 완료해 보겠습니다.

   참고:

   • 기본적으로 user.id은 externalId로 매핑됩니다. user.id을 $(user.userName)로 바꿉니다.
   • 프로비저닝 섹션은 작업 6에서 업데이트됩니다.

   

   OCI IAM의 SCIM 프로비저닝 프로세스가 vCenter에서 사용자 계정을 생성할 때 사용자의 sAMAccountName(예: jdoe)가 기본 식별자로 사용되기 때문에 사전 요구사항에서 언급했듯이 OCI IAM의 사용자 이름 값은 sAMAccountName 형식(전자메일 또는 UPN 형식이 아님)이어야 합니다. 다음 샘플 속성 매핑을 참조하십시오.

   

6. 프로비저닝 작업 선택 섹션에서 계정 생성, 계정 삭제, 사용자 업데이트 푸시, 사용자 활성화/비활성화 상태 푸시를 선택하고 동기화 사용을 사용으로 설정하고 기본 구성을 사용합니다.

   

   

작업 4: CA 번들 생성

OCI API Gateway와 VCenter 간에 신뢰할 수 있는 연결을 설정하려면 OCI API 게이트웨이에서 VCenter의 신뢰할 수 있는 루트 CA 인증서를 제공해야 합니다.

1. OCI 콘솔에 로그인하고 ID 및 보안, 인증서 및 CA 번들로 이동합니다.

   

2. CA 번들 생성 페이지에서 적합한 컴파트먼트를 선택하고 적합한 이름을 번들에 제공하고 작업 2에서 다운로드한 인증서의 콘텐츠를 붙여 넣습니다.

   

작업 5: OCI API 게이트웨이 구성

OCI IAM이 인터넷에 노출되지 않은 vCenter SCIM API에 안전하게 연결할 수 있도록 OCI API Gateway는 프록시 역할을 하여 OCI IAM과 vCenter SCIM API 간의 원활하고 안전한 통신을 보장합니다.

1. OCI 콘솔에 로그인하고 개발자 서비스, API 관리 및 게이트웨이로 이동합니다.

   

2. 게이트웨이 생성 페이지에서 적합한 이름을 입력하고 원하는 가상 클라우드 네트워크 및 퍼블릭 서브넷을 선택합니다. 기본 인증서를 사용하고 완료를 누릅니다. 게이트웨이가 완전히 배치될 때까지 기다립니다.

   

   

3. 인증 기관 추가를 눌러 작업 4에서 생성된 CA 번들을 추가합니다.

   

4. 배치 및 배치 생성을 누릅니다.

   

5. 기본 정보 섹션에 다음 정보를 입력합니다.

   • 이름: 적합한 이름을 입력합니다.
   • 경로 접두어: /를 입력합니다.
   • 실행 로그 레벨: 정보를 선택합니다.

   

   

6. No Authentication을 선택합니다.

   

7. 경로 섹션에서 적합한 vCenter SCIM API 끝점을 다른 경로(경로 1, 경로 2, 경로 3, 경로 4 및 경로 5)로 추가하고 다음을 누릅니다.

   • 경로 1: 경로(/usergroup/t/CUSTOMER/scim/v2), URL(https://<VSCA URL>)

     

   • 경로 2: 경로(/usergroup/t/CUSTOMER/scim/v2/Users), URL(https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Users)

     

   • 경로 3: 경로(/usergroup/t/CUSTOMER/scim/v2/Groups), URL(https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Groups)

     

   • 경로 4: 경로(/usergroup/t/CUSTOMER/scim/v2/Groups/{object*}), URL(https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Groups/${request.path[object]})

     

   • 경로 5: 경로(/usergroup/t/CUSTOMER/scim/v2/Users/{object*}), URL(https://<VSCA URL>/usergroup/t/CUSTOMER/scim/v2/Users/${request.path[object]})

     

8. 배치가 완료될 때까지 기다린 후 끝점 URL을 복사합니다.

   

작업 6: OCI IAM에서 SCIM 애플리케이션 업데이트

1. OCI 콘솔에 로그인하고, ID 및 보안으로 이동하고, 도메인을 선택하고, 통합 애플리케이션으로 이동하고, 일반 SCIM Bearer 토큰 애플리케이션을 선택하고, OCI API Gateway 배치 끝점 URL을 붙여넣습니다.

   

   주: 호스트 이름만 사용되는지 확인하십시오.

2. 기본 URI를 입력합니다.

   

3. vCenter 액세스 토큰을 추가합니다. 이를 위해 vCenter 서버에 로그인하고, vCenter 구성을 선택하고, 토큰을 생성 및 복사해야 합니다.

   

4. SCIM 애플리케이션에 액세스 토큰을 붙여넣고 접속 테스트를 누릅니다.

   

작업 7: OCI IAM의 유저를 vCenter로 동기화

OCI IAM에서 vCenter 서버로 푸시할 사용자를 지정하려면 해당 사용자를 SCIM 애플리케이션에 지정합니다.

1. OCI 콘솔에 로그인하고, ID 및 보안으로 이동하고, 도메인을 선택하고, 통합 애플리케이션으로 이동하고, SCIM 애플리케이션을 선택하고, 사용자 및 사용자 지정을 누릅니다.

   

   

   

2. 이제 vCenter에서 푸시된 사용자에 대해 검증하고 적절한 권한을 지정합니다. vCenter 서버에 로그인하고, vCenter 구성을 선택하고, Single Sign On에서 사용자 및 그룹을 누르고, 추가된 도메인을 선택하고, 사용자를 검증합니다.

   

작업 8: 테스트

1. 익명 브라우저에 vSphere URL을 입력하고 LAUNCH VSPHERE CLIENT를 누릅니다.

   

   

2. vSphere 로그인 페이지에서 OCI-IAM으로 로그인을 누릅니다.

   

3. 요청이 OCI IAM 로그인 페이지로 재지정됩니다. 사용자 이름 및 비밀번호를 입력합니다.

   

   인증에 성공하면 vSphere 홈 페이지로 이동합니다.

   

다음 단계

이 사용지침서에서는 통합 인증을 위해 OCI IAM을 vSphere과 통합하는 방법을 시연했습니다. 이를 통해 사용자는 중앙 집중식 ID 제공자와 SCIM 프로비저닝을 통해 로그인하여 두 시스템 간에 사용자 계정을 효율적으로 동기화할 수 있습니다. 이 통합은 ID 관리를 간소화하고 보안을 강화하며 관리자의 운영 효율성을 향상시킵니다.

관련 링크

• 관리자 롤 이해

• API 게이트웨이 생성

• OAuth 2.0으로 인증

• 일반 SCIM 애플리케이션 템플리트는 어떻게 사용합니까?

확인

• Authors - Gautam Mishra(Principal Cloud Architect), Nikhil Verma(Principal Cloud Architect)

추가 학습 자원

docs.oracle.com/learn에서 다른 실습을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하세요. 또한 Oracle Learning Explorer가 되려면 education.oracle.com/learning-explorer을 방문하십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.

---

제목 및 저작권 정보

Integrate vCenter Server Identity Provider Federation with OCI IAM for Oracle Cloud VMware Solution

G15239-02

September 2024

Copyright ©2024,

Oracle and/or its affiliates.