VMware Hands-on Lab - HOL-1957-02-UEM


실습 개요 - HOL-1957-02-UEM - Workspace ONE UEM - ID 관리

실습 지침


참고: 이 실습을 완료하는 데 90분 이상 소요될 수 있습니다. 한 번에 전체 실습 모듈을 다 완료하지 못할 수도 있습니다.  각 모듈은 서로 독립적이므로 순서에 관계없이 원하는 모듈부터 실습을 시작할 수 있습니다. 목차를 사용하여 원하는 모듈에 바로 액세스할 수 있습니다.

목차는 실습 설명서 오른쪽 상단에서 볼 수 있습니다.

VMware Identity Manager가 주 ID 공급자 역할을 수행하거나 다른 타사 ID 공급자와의 인증 연합을 통해 직원에게 싱글 사인온(SSO) 기능과 다양한 액세스 정책을 제공하는 방법에 대해 알아봅니다.  Software as a Service(SaaS) 및 사내 시나리오에서 VMware Identity Manager를 구성 및 관리하는 방법도 알아봅니다.  마지막으로 VMware Identity Manager REST API를 사용하여 일반적인 작업 및 절차를 자동화하는 방법을 살펴봅니다.

실습 모듈 목록:

실습 담당자:

  • Roger Deane, 수석 관리자, 기술 마케팅, 미국
  • Shardul Navare, 수석 기술 마케팅 아키텍트, 미국
  • Chris Halstead, EUC 스태프 아키텍트, 미국
  • Andreano Lanusse, EUC 스태프 아키텍트, 미국
  • Justin Sheets, 수석 기술 마케팅 아키텍트, 미국

 실무 전문가:

  • Camilo Lotero, 수석 기술 마케팅 관리자, 미국

이 실습 설명서는 다음 Hands-on Lab 문서 사이트에서 다운로드할 수 있습니다.

http://docs.hol.vmware.com

이 실습은 다른 언어로도 제공될 수 있습니다.  원하는 언어로 설정하고 실습과 함께 배포되는 현지화된 설명서를 보려면 실습 과정을 수행할 때 다음 문서를 참조하십시오.

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

주 콘솔 위치

 

  1. 빨간색 상자로 표시된 영역에 주 콘솔이 표시됩니다.  실습 설명서는 주 콘솔의 오른쪽 탭에 있습니다.
  2. 실습에 따라 왼쪽 위의 별도 탭에 추가 콘솔이 제공될 수 있습니다. 필요할 경우 별도의 콘솔을 열라는 지침이 표시됩니다.
  3. 실습이 시작되면 타이머에 90분이 표시됩니다.  이 실습은 저장할 수 없습니다.  실습 세션 동안 모든 작업을 완료해야 합니다.  그러나 EXTEND(연장)를 클릭하여 시간을 늘릴 수는 있습니다.  VMware에서 수행되는 실습에 참석한 경우 실습 시간을 두 번에 걸쳐 총 30분 연장할 수 있습니다.  한 번 클릭할 때마다 15분이 추가됩니다.  VMware 외부에서 진행되는 행사인 경우 실습 시간을 최대 9시간 30분까지 연장할 수 있습니다. 클릭할 때마다 1시간이 추가됩니다.

 

 

키보드 이외의 데이터 입력 방법

이 모듈에서는 주 콘솔에 텍스트를 입력하게 됩니다. 콘솔에 직접 입력하는 대신, 더 쉽게 복잡한 데이터를 입력할 수 있는 두 가지 다른 방법이 있습니다.

 

 

실습 설명서 컨텐츠를 클릭하여 콘솔 활성 창으로 끌어서 놓기

 
 

실습 설명서에서 바로 텍스트와 명령줄 인터페이스(CLI) 명령을 클릭하여 주 콘솔의 활성 창에 끌어 놓을 수 있습니다.  

 

 

온라인 다국어 키보드 액세스

 

주 콘솔에 있는 온라인 다국어 키보드를 사용할 수도 있습니다.

  1. Windows 빠른 실행 작업 표시줄에 있는 키보드 아이콘을 클릭합니다.

 

 

활성 콘솔 창 클릭

 

이 예에서는 온라인 키보드를 사용하여 e-메일 주소에 사용되는 "@" 기호를 입력합니다. "@" 기호는 미국 키보드 배열에서 Shift+2입니다.

  1. 활성 콘솔 창을 한 번 클릭합니다.
  2. Shift 키를 클릭합니다.

 

 

@ 키 클릭

 

  1. "@" 키를 클릭합니다.

활성 콘솔 창에 @ 기호가 입력됩니다.

 

 

정품 인증 확인 또는 워터마크

 

실습을 처음 시작하면 바탕 화면에 Windows의 정품 인증이 확인되지 않았음을 나타내는 워터마크를 볼 수 있습니다.  

가상화의 주요 이점 중 하나는 가상 머신을 이동하여 모든 플랫폼에서 실행할 수 있다는 점입니다.  Hands-on Lab은 이러한 이점을 활용하므로 여러 데이터 센터에서 실습을 실행할 수 있습니다.  하지만 이러한 데이터 센터에서 동일한 프로세서를 사용하지 않을 수 있으므로 인터넷을 통한 Microsoft 정품 인증 확인이 필요합니다.

VMware 및 Hands-on Lab은 Microsoft 라이센싱 요구 사항을 완벽하게 준수하고 있습니다.  사용하는 실습 환경은 독립형 포드로, Windows 정품 인증을 위한 인터넷 전체 액세스 권한을 가지고 있지 않습니다.  인터넷에 대한 전체 액세스 권한이 없으면 자동 프로세스가 실패하게 되며 이 워터마크가 나타납니다.

그러나 이러한 외관상의 문제는 실습에 영향을 미치지 않습니다.  

 

 

화면 오른쪽 아랫부분 확인

 

시작 절차가 모두 완료되어 실습을 시작할 준비가 되었는지 확인합니다. "Ready"(준비) 상태가 아니면 몇 분 더 기다려야 합니다.  5분 후에도 "Ready"(준비) 상태로 바뀌지 않으면 도움을 요청하십시오.

 

모듈 1 - VMware Identity Manager 설치, 구성 및 관리

소개


이 실습에서는 VMware Identity Manager를 설치, 구성 및 관리하는 방법을 살펴보며  다음과 같은 실습이 포함됩니다.

  1. VMware Identity Manager Connector 설정 및 설치
  2. 디렉토리와 사용자 구성, 동기화 및 관리
  3. Kerberos 및 RADIUS에 대한 ID 공급자(IdP) 및 인증 방법 구성
  4. 애플리케이션 구성 및 권한 부여

conn-01a 서버에 연결


 

바탕 화면에 있는 conn-01a.rdp 링크를 두 번 클릭하여 conn-01a 서버에 연결합니다.

이 실습의 초기 부분에서는 지정된 서버에 VMware Identity Manager Connector를 설치합니다.  전용 서버 또는 가상 머신(VM)에 VMware Identity Manager Connector를 설치할 것을 권장합니다.


VMware Identity Manager Connector 설치 및 구성


VMware Enterprise Systems Connector가 이미 다운로드되어 있습니다.  VMware Enterprise Systems Connector에는 AirWatch Cloud Connector(ACC) 및 VMware Identity Manager Connector 서비스가 모두 포함되어 있습니다.  이 실습에서는 Active Directory 사용자를 VMware Identity Manager 테넌트와 동기화하고 인증하기 위해 VMware Identity Manager Connector 서비스만 설치합니다.


 

VMware Enterprise Systems Connector 설치 프로그램 시작

 

  1. 작업 표시줄에서 파일 탐색기 아이콘을 클릭합니다.
  2. Documents(문서)를 클릭합니다.
  3. HOL을 클릭합니다.
  4. VMware Enterprise Systems Connector 9.4.0.0 Installer.exe 파일을 두 번 클릭합니다.

 

주 콘솔로 돌아가기


 

VMware Identity Manager Connector를 설치했으면 주 콘솔에서 이 실습의 나머지 요구 사항을 구성하게 됩니다.

화면 상단의 원격 데스크톱 연결 표시줄에서 닫기(X) 버튼을 클릭합니다.

참고: 원격 데스크톱 연결 표시줄이 보이지 않을 경우 표시줄 고정을 해제했을 수 있습니다.  마우스를 화면 상단 중앙 부분으로 가져가면 표시됩니다.


Workspace ONE UEM 콘솔에 로그인


대부분의 실습은 Workspace ONE UEM 관리 콘솔에 로그인해야 수행할 수 있습니다.


 

Chrome 브라우저 실행

 

실습 바탕 화면에서 Chrome 브라우저를 두 번 클릭합니다.

 

 

Workspace ONE UEM 관리 콘솔 인증

 

브라우저의 기본 홈 페이지는 https://labs.awmdm.com입니다. Workspace ONE UEM 관리 계정 정보를 입력한 후 Log In(로그인) 버튼을 클릭합니다.

참고 - CAPTCHA가 표시될 경우 대소문자를 구분해야 합니다.

  1. User name(사용자 이름)을 입력합니다. 사용자 이름은 VMware Learning Platform(VLP) 계정에 연결된 e-메일 주소입니다.
  2. Password(암호) 필드에 VMware1!를 입력합니다.
  3. Log In(로그인) 버튼을 클릭합니다.

참고 - 실습 환경의 제약 사항으로 인해 Workspace ONE UEM Hands-on Lab 서버에 접속하는 데 1분 정도 소요될 수 있습니다.

 

 

최종 사용자 라이센스 계약 동의

 

참고 - 다음 관리 콘솔 로그인 단계는 콘솔에 처음 로그인할 때만 수행합니다.

Workspace ONE UEM 이용 약관이 표시됩니다. Accept(동의) 버튼을 클릭합니다.

 

 

초기 보안 설정

 

이용 약관에 동의하면 Security Settings(보안 설정) 팝업 창이 표시됩니다.  Password Recovery Question(암호 복구 질문)은 관리 암호를 잊어버린 경우를 위한 것이며 Security PIN(보안 PIN)은 콘솔의 특정 관리 기능을 보호하기 위한 것입니다.  

  1. Password Recovery Question(암호 복구 질문) 및 Security PIN(보안 PIN) 섹션을 보려면 아래로 스크롤해야 할 수 있습니다.
  2. Password Recovery Question(암호 복구 질문) 드롭다운에서 질문을 선택합니다(이 실습에서는 선택된 기본 질문을 사용).
  3. Password Recovery Answer (암호 복구 답변) 필드에 VMware1!를 입력합니다.
  4. Confirm Password Recovery Answer(암호 복구 답변 확인) 필드에 VMware1!를 입력합니다.
  5. Security PIN(보안 PIN) 필드에 1234를 입력합니다.
  6. Confirm Security PIN(보안 PIN 확인) 필드에 1234를 입력합니다.
  7. 완료했으면 Save(저장) 버튼을 클릭합니다.

 

 

시작 메시지 닫기

 

보안 설정을 완료하면 Workspace ONE UEM 콘솔 팝업 창이 표시됩니다.

  1. Don't show this message on login(로그인 시 이 메시지 표시 안 함) 확인란을 클릭합니다.
  2. 오른쪽 상단의 X 아이콘을 클릭하여 팝업 창을 닫습니다.

 

VMware Identity Manager 콘솔에 로그인


이 실습에서 사용할 임시 VMware Identity Manager 테넌트가 생성되어 있습니다.  실습을 시작할 때 VMware Identity Manager 테넌트 URL 및 로그인 정보가 Workspace ONE UEM 콘솔의 Content(컨텐츠) 섹션에 업로드되었습니다.


 

Workspace ONE UEM 콘솔에서 테넌트 정보에 액세스

 

Workspace ONE UEM 콘솔에서 다음을 수행합니다.

  1. Content(컨텐츠)를 클릭합니다.
  2. Content Locker를 확장합니다.
  3. List View(목록 보기)를 클릭합니다.
  4. vIDM Tenant Details for your@email.shown.here.txt라는 이름의 텍스트 파일을 찾아 옆의 토글 버튼을 클릭하여 파일을 선택합니다.
  5. Download(다운로드)를 클릭합니다.

 

 

VMware Identity Manager 테넌트에 로그인

이제 다음 단계를 수행하기 위해 VMware Identity Manager 테넌트에 로그인합니다.

 

VMware Identity Manager 테넌트 구성


AirWatch 콘솔에서 디렉토리 서비스 및 VMware Identity Manager 설정을 구성하기 전에 몇 가지 VMware Identity Manager 테넌트 구성을 완료해야 Active Directory 사용자를 임포트하여 구성에 맞게 매핑할 수 있습니다.  

다음 단계를 계속 진행합니다.


 

사용자 속성 편집

 

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Setup(설정)을 클릭합니다.
  3. User Attributes(사용자 속성)를 클릭합니다.
  4. distinguishedName 필드 옆의 확인란을 클릭하여 설정합니다.
  5. userPrincipalName 필드 옆의 확인란을 클릭하여 설정합니다.
    참고 - distinguishedName 및 userPrincipalName 특성을 찾으려면 아래로 스크롤해야 할 수 있습니다.

 

 

사용자 속성 변경 사항 저장

 

  1. 페이지 맨 아래로 스크롤합니다.
  2. Save(저장)를 클릭합니다.

 

VMware Identity Manager Connector 생성 및 구성


 

VMware Identity Manager 관리 콘솔에서 다음을 수행합니다.

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Setup(설정)을 클릭합니다.
  3. Connectors(커넥터)를 클릭합니다.
  4. Add Connector(커넥터 추가)를 클릭합니다.

 

커넥터 활성화 코드 생성

 

  1. Connector ID Name(커넥터 ID 이름)에 Lab을 입력합니다.
  2. Generate Activation Code(활성화 코드 생성)를 클릭합니다.

 

 

커넥터 활성화

 

VMware Identity Manager Connector를 활성화하기 위해 8443 포트를 통해 VMware Identity Manager Connector 서비스가 설치된 호스트에 연결할 수 있습니다.  전 단계에서 conn-01a.corp.local에 VMware Identity Manager Connector 서비스를 설치했습니다.

  1. 옵션 버튼을 클릭합니다.
  2. New tab(새 탭)을 클릭합니다.
  3. https://conn-01a.corp.local:8443/cfg를 입력하고 Enter 키를 누릅니다.

 

 

커넥터 활성화 확인

 

VMware Identity Manager 콘솔에서 다음을 수행합니다.

  1. 브라우저의 새로 고침 버튼을 클릭합니다.
  2. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  3. Setup(설정)을 클릭합니다.
  4. Connectors(커넥터)를 클릭합니다.
  5. 이제 커넥터에 conn-01a.corp.local 호스트 이름과 Lab 작업자 이름이 표시되는지 확인합니다.

이는 VMware Identity Manager Windows Connector가 성공적으로 설정 및 설치되었음을 나타냅니다.

 

 

VMware Identity Manager와 Active Directory 사용자 동기화


이 섹션에서는 VMware Identity Manager에 새 디렉토리를 추가한 다음 Active Directory의 사용자를 VMware Identity Manager 테넌트와 동기화하는 방법을 살펴봅니다.


 

Active Directory over LDAP 추가

 

VMware Identity Manager 관리 콘솔에서 다음을 수행합니다.

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Directories(디렉토리)를 클릭합니다.
  3. Add Directory(디렉토리 추가)를 클릭합니다.
  4. Add Active Directory over LDAP/IWA(Active Directory over LDAP/IWA 추가)를 클릭합니다.

 

 

동기화된 사용자가 있는지 확인

 

  1. Users & Groups(사용자 및 그룹)를 클릭합니다.
  2. corp.local 사용자가 동기화되어 여기에 표시되는지 확인합니다.

이를 통해 VMware Identity Manager 테넌트에 디렉토리가 추가되었으며 앞서 설치한 커넥터를 사용하여 Active Directory 사용자를 디렉토리에 동기화할 수 있다는 것을 확인했습니다.

 

암호 클라우드 배포를 사용하기 위한 ID 공급자 설정


이 섹션에서는 corp.local 도메인 사용자가 AD 자격 증명을 제공하여 VMware Identity Manager 테넌트에 로그인할 수 있도록 내장 ID 공급자(IdP)를 구성하는 방법을 살펴봅니다.


 

내장 ID 공급자 구성

 

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Identity Providers(ID 공급자)를 클릭합니다.
  3. Built-In(내장)을 클릭합니다.

 

 

액세스 정책 구성

 

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Policies(정책)를 클릭합니다.
  3. Edit Default Policy(기본 정책 편집)를 클릭합니다.

 

 

corp.local 사용자가 로그인할 수 있는지 확인

 

  1. 옵션을 클릭합니다.
  2. New incognito window(새 시크릿 창)를 클릭합니다.
  3. https://{yourtenant}.vidmpreview.com을 입력하여 VMware Identity Manager 테넌트의 로그인 화면으로 다시 이동합니다.
    참고 - {yourtenant}를 테넌트 이름으로 교체하십시오.

 

웹 링크 애플리케이션 설정 및 사용자 권한 부여


이 섹션에서는 웹 링크 애플리케이션을 만드는 방법과 동기화된 사용자에게 애플리케이션 액세스 권한을 부여하는 방법을 살펴봅니다.  


 

웹 링크 애플리케이션 생성

 

VMware Identity Manager 관리 콘솔에서 다음을 수행합니다.

  1. Catalog(카탈로그)를 클릭합니다.
  2. New(새로 만들기)를 클릭합니다.

 

 

웹 링크 애플리케이션 확인

 

  1. 옵션을 클릭합니다.
  2. New incognito window(새 시크릿 창)를 클릭합니다.
  3. https://{yourtenant}.vidmpreview.com을 입력하여 VMware Identity Manager 테넌트의 로그인 화면으로 다시 이동합니다.
    참고 - {yourtenant}를 테넌트 이름으로 교체하십시오.

 

Kerberos 인증 어댑터 설정


이 섹션에서는 IDM Connector를 통해 Windows 싱글 사인온(SSO)을 사용하도록 Kerberos 인증을 구성하는 방법을 살펴봅니다.


 

커넥터에 Kerberos 인증 어댑터 설정

 

VMware Identity Manager Connector에 대해 Kerberos 인증을 사용하도록 설정하려면 VMware Identity Manager Connector 서비스가 설치된 서버인 conn-01a.corp.local에 있는 setupKerberos.bat 파일을 실행해야 합니다.

주 콘솔 바탕 화면에 있는 conn-01a.rdp 링크를 두 번 클릭하여 conn-01a 서버에 연결합니다.

 

 

정책 규칙 업데이트

 

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Manage(관리)를 클릭합니다.
  3. Policies(정책)를 클릭합니다.
  4. Edit Default Policy(기본 정책 편집)를 클릭합니다.

 

 

Workspace ONE 애플리케이션을 사용하여 Kerberos로 인증

 

바탕 화면에서 Win10-01a.rdp 바로 가기를 두 번 클릭합니다.

 

 

주 콘솔로 돌아가기

 

원격 데스크톱 세션 화면 상단의 X를 클릭하여 주 콘솔로 돌아갑니다.

 

RADIUS 인증 설정


이 섹션에서는 Windows용 RADIUS 서버 및 클라이언트를 설치 및 구성하는 방법과 RADIUS 클라우드 배포 인증 방법을 설정하여 RADIUS를 IDM에 통합하는 방법에 대해 자세히 알아봅니다.


 

conn-01a 서버에 연결

 

이 실습을 위해 conn-01a.corp.local 서버에서 RADIUS 서버와 클라이언트를 구성합니다.

바탕 화면에 있는 conn-01a.rdp 링크를 두 번 클릭하여 conn-01a 서버에 연결합니다.

 

 

Windows용 RADIUS 서버 설치 및 구성

 

  1. 작업 표시줄에서 Server Manager(서버 관리자)를 클릭합니다.
  2. Manage(관리)를 클릭합니다.
  3. Add Roles and Features(역할 및 기능 추가)를 클릭합니다.

 

 

주 콘솔로 돌아가기

 

RADIUS 클라이언트를 구성했으면 주 콘솔에서 나머지 요구 사항을 구성하게 됩니다.

화면 상단의 원격 데스크톱 연결 표시줄에서 닫기(X) 버튼을 클릭합니다.

참고: 원격 데스크톱 연결 표시줄이 보이지 않을 경우 표시줄 고정을 해제했을 수 있습니다.  마우스를 화면 상단 중앙 부분으로 가져가면 표시됩니다.

 

 

VMware Identity Manager에 RADIUS 인증 방법 구성

 

VMware Identity Manager 관리 콘솔에서 다음을 수행합니다.

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Setup(설정)을 클릭합니다.
  3. Connectors(커넥터)를 클릭합니다.
  4. Lab을 클릭합니다.

 

 

ID 공급자 구성

 

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Identity Providers(ID 공급자)를 클릭합니다.
  3. Built-In(내장)을 클릭합니다.

 

 

정책 규칙 구성

 

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Policies(정책)를 클릭합니다.
  3. Edit Default Policy(기본 정책 편집)를 클릭합니다.

 

 

웹 브라우저에서 RADIUS 인증 테스트

 

  1. 옵션을 클릭합니다.
  2. New incognito window(새 시크릿 창)를 클릭합니다.
  3. https://{yourtenant}.vidmpreview.com을 입력하여 VMware Identity Manager 테넌트의 로그인 화면으로 다시 이동합니다.
    참고 - {yourtenant}를 테넌트 이름으로 교체하십시오.

 

추가 실습 모듈 수행을 위한 지침


 

이 실습의 추가 모듈을 수행하려는 경우 VMware Learning Platform에서 END(종료) 버튼을 클릭한 후 실습을 다시 실행하십시오.

이 실습의 각 모듈에서는 다양한 사용 사례에 VMware Identity Manager 및 VMware Identity Manager Connector 구성을 활용하므로 새 인프라로 다음 모듈을 수행하는 가장 빠른 방법은 실습을 다시 시작하는 것입니다.  다시 시작한 후 실습 지침 섹션에 나와 있는 대로 목차를 사용하여 다음 모듈로 이동합니다.


결론


이 실습에서 학습한 내용은 다음과 같습니다.

먼저 VMware Identity Manager의 설치, 구성 및 관리를 통해 기업의 요구 사항을 기반으로 유연하게 맞춤형 액세스 정책을 작성할 수 있다는 것을 알아보았습니다.  인증 정책을 처음부터 다시 작성하는 데 시간을 낭비하지 않고 사용자가 익숙한 방식으로 인증할 수 있도록 ID 공급자 및 액세스 정책을 설정할 수 있습니다.

추가 VMware Identity Manager 실습을 통해 인증 방법에 대한 추가 학습이 가능하므로 확인해 보십시오.


모듈 2 - VMware Identity Manager의 사내 설치

소개


VMware Identity Manager는 VMware Workspace ONE의 ID 구성 요소입니다. 이 서비스는 Software as a Service(SaaS) 또는 사내 서비스로 제공됩니다. 사내 배포는 Linux 기반 OVA로 배포하거나 Window 서버에 설치할 수 있습니다.

이 Hands-on Lab에서는 Windows 서버에 VMware Identity Manager 서비스를 설치하고, 사용자 동기화 및 인증을 위해 사내 Active Directory 환경과 통합하는 과정을 안내합니다.

이 실습에서 사용하는 아키텍처는 VMware Identity Manager의 여러 구성 요소가 별도의 전용 Windows 서버에 분산되어 있습니다. 따라서 Active Directory 커넥터와 SQL Database는 내부 네트워크에 유지하면서 주 VMware Identity Manager 서비스는 개방된 DMZ에 배치하는 보다 유연한 아키텍처가 가능합니다.

Workspace ONE 플랫폼의 VMware Identity Manager 서비스 및 기타 서비스에 대한 참조 아키텍처는 VMware TechZone(https://techzone.vmware.com/resource/vmware-workspace-one-and-vmware-horizon-7-enterprise-edition-premises-reference)에서 확인할 수 있습니다.


실습 아키텍처


이 실습의 범위를 제한하기 위해 아키텍처를 간소화했습니다. 이 아키텍처와 관련된 다양한 구성 요소에 대해 알아보겠습니다.


 

구성 요소와 하위 시스템

 

주 콘솔(192.168.110.10)

vidm-01a(192.168.110.14)

conn-01a(192.168.110.15)

sql-01a(192.168.110.13)

 

 

사용 사례 및 요구 사항

이 실습에서는 다음 사용 사례를 다룹니다.

이 사용 사례를 위해 다음과 같은 요구 사항 및 결정 사항이 적용됩니다.

이 설정의 이점은 다음과 같습니다.

 

VMware Identity Manager SQL Database 생성


이 실습에서는 VMware Identity Manager용 SQL Database를 만듭니다. VMware Identity Manager 설치 과정에서 이 데이터베이스를 대상 데이터베이스로 참조합니다.


 

CreateVidmDb 스크립트 복사

 

  1. 작업 표시줄에서 파일 탐색기 아이콘을 클릭합니다.
  2. Documents(문서)를 클릭합니다.
  3. HOL을 클릭합니다.
  4. VMware Identity Manager를 클릭합니다.
  5. CreateVidmDb.txt를 마우스 오른쪽 버튼으로 클릭합니다.
  6. Edit with Notepad++(메모장++를 이용한 편집)를 클릭합니다.

 

 

CreateVidmDb 스크립트 실행

 

바탕 화면에서 SQL Server 2014 Management Studio를 두 번 클릭합니다.

 

VMware Identity Manager 서비스 설치


이 실습에서는 VMware Identity Manager 서비스 애플리케이션 설치 프로그램을 실행하여 VMware Identity Manager 서비스를 설치합니다. 소개에서 설명한 것처럼 VMware Identity Manager 서비스를 호스팅하도록 설정된 전용 서버(vidm-01a.corp.local)가 있으며 해당 서버에 서비스를 설치합니다.


 

VIDM-01 RPD에 연결

 

바탕 화면에서 vidm-01a.rdp 바로 가기를 클릭합니다.

 

 

VMware Identity Manager 서비스 설치 프로그램 실행

 

  1. vidm-01a.corp.local 서버의 작업 표시줄에서 파일 탐색기 아이콘을 클릭합니다.
  2. Documents(문서)를 클릭합니다.
  3. HOL을 클릭합니다.
  4. VMware_Identity_Manager_3.2.0.1_Full_Install.exe 파일을 마우스 오른쪽 버튼으로 클릭합니다.
  5. Run as administrator(관리자 권한으로 실행)를 클릭합니다.

 

 

VMware Identity Manager 서비스 설치 완료

 

Next(다음)를 클릭합니다.

참고: 설치 프로그램이 로드되는 데 몇 분 정도 걸릴 수 있습니다.

 

 

VMware Identity Manager 설정 마법사 완료

 

  1. ADVANCED(고급)를 클릭합니다.
  2. Proceed to vidm-01a.corp.local (unsafe)(vidm-01a.corp.local로 이동(안전하지 않음))를 클릭합니다.

유효하지 않은 인증서 오류가 발생하는 이유는  VMware Identity Manager 서비스 설치 프로그램이 설치 과정에서 SSL 인증서를 제공하지 않기 때문입니다.  지금 액세스하고 있는 설정 마법사를 완료하고 나면 SSL 인증서를 업로드합니다.

 

 

관리 콘솔에서 초기 구성 수행

 

  1. Username(사용자 이름)에 admin을 입력합니다.
  2. Password(암호)에 VMware1!를 입력합니다.
  3. Sign in(로그인)을 클릭합니다.

이 자격 증명은 이전 설치 마법사의 단계에서 구성한 어플라이언스 관리자의 자격 증명입니다.

 

 

주 콘솔로 돌아가기

 

추가 실습을 완료하기 위해 주 콘솔로 돌아갑니다.  화면 상단의 원격 데스크톱 연결 표시줄에서 닫기(X) 버튼을 클릭합니다.

 

VMware Identity Manager 관리 콘솔로 이동


 

실습 바탕 화면에서 Chrome 브라우저를 두 번 클릭합니다.


 

VMware Identity Manager 관리 콘솔로 이동

 

  1. 옵션을 클릭합니다.
  2. New tab(새 탭)을 클릭합니다.
  3. https://vidm-01a.corp.local을 입력하고 Enter 키를 누릅니다.

이전 단계에서 vidm-01a.corp.local이라는 이름의 호스트로 VMware Identity Manager 서비스를 설치했습니다.  사용자가 관리 콘솔에 액세스하기 위해서는 이 호스트로 이동해야 합니다.

 

 

VMware Identity Manager 관리 콘솔에 로그인

 

  1. Username(사용자 이름)에 admin을 입력합니다.
  2. Password(암호)에 VMware1!를 입력합니다.
  3. Sign in(로그인)을 클릭합니다.

이 자격 증명은 VMware Identity Manager 서비스 설치 중에 생성한 관리자 자격 증명입니다.

 

 

인증에 성공했는지 확인

 

VMware Identity Manager 관리 콘솔이 위와 같이 로드되면 인증에 성공한 것입니다.  이후 단계에서 관리 콘솔로 돌아와 추가 구성을 수행할 것입니다.

 

VMware Identity Manager Connector 설치


VMware Identity Manager Connector는 사내 Active Directory와 VMware Identity Manager의 통합을 수행합니다. 이 실습에서는 소개에서 설명한 사용 사례 및 요구 사항을 충족하기 위해 VMware Identity Manager Connector를 적절한 구성으로 설치하는 방법을 알아봅니다.


 

conn-01a 서버에 연결

 

바탕 화면에 있는 conn-01a.rdp 링크를 두 번 클릭하여 conn-01a 서버에 연결합니다.

지정된 서버에 VMware Identity Manager Connector를 설치합니다.  전용 서버 또는 가상 머신(VM)에 VMware Identity Manager Connector를 설치할 것을 권장합니다.

 

 

컴퓨터 브라우저 서비스 시작

 

conn-01a 서버의 작업 표시줄에서 Windows 시작 버튼을 클릭합니다.

 

 

NetBIOS over TCP/IP 사용

 

  1. 네트워크 아이콘을 마우스 오른쪽 버튼으로 클릭합니다.
  2. Open Network and Sharing Center(네트워크 및 공유 센터 열기)를 클릭합니다.
  3. Network and Sharing Center(네트워크 및 공유 센터)에서 Ethernet0 2를 클릭합니다.

 

 

VMware Enterprise Systems Connector 설치 프로그램 시작

 

  1. 작업 표시줄에서 파일 탐색기 아이콘을 클릭합니다.
  2. Documents(문서)를 클릭합니다.
  3. HOL을 클릭합니다.
  4. VMware Enterprise Systems Connector Installer.exe 파일을 마우스 오른쪽 버튼으로 클릭합니다.
  5. Run as administrator(관리자 권한으로 실행)를 클릭합니다.

 

 

주 콘솔로 돌아가기

 

VMware Identity Manager Connector를 설치했으면 주 콘솔에서 이 실습의 나머지 요구 사항을 구성하게 됩니다.

화면 상단의 원격 데스크톱 연결 표시줄에서 닫기(X) 버튼을 클릭합니다.

참고: 원격 데스크톱 연결 표시줄이 보이지 않을 경우 표시줄 고정을 해제했을 수 있습니다.  마우스를 화면 상단 중앙 부분으로 가져가면 표시됩니다.

 

VMware Identity Manager Connector 활성화


이전 실습에서 VMware Identity Manager Connector 설치를 완료했지만 아직 커넥터가 활성화되지 않았습니다.  이 실습에서는 VMware Identity Manager 관리 콘솔에서 VMware Identity Manager Connector를 활성화하고 등록합니다.


 

커넥터 추가

 

Google Chrome으로 돌아갑니다.  VMware Identity Manager 관리 콘솔에서 다음을 수행합니다.

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Setup(설정)을 클릭합니다.
  3. Connectors(커넥터)를 클릭합니다.
  4. Add Connector(커넥터 추가)를 클릭합니다.

 

 

커넥터 활성화

 

VMware Identity Manager Connector를 활성화하기 위해 8443 포트를 통해 VMware Identity Manager Connector 서비스가 설치된 호스트에 연결할 수 있습니다.  전 단계에서 conn-01a.corp.local에 VMware Identity Manager Connector 서비스를 설치했습니다.

  1. 옵션 버튼을 클릭합니다.
  2. New tab(새 탭)을 클릭합니다.
  3. https://conn-01a.corp.local:8443/cfg를 입력하고 Enter 키를 누릅니다.

 

 

커넥터 활성화 확인

 

VMware Identity Manager 콘솔에서 다음을 수행합니다.

  1. 브라우저의 새로 고침 버튼을 클릭합니다.
  2. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  3. Setup(설정)을 클릭합니다.
  4. Connectors(커넥터)를 클릭합니다.
  5. 이제 커넥터에 conn-01a.corp.local 호스트 이름과 Lab 작업자 이름이 표시되는지 확인합니다.

이는 VMware Identity Manager Windows Connector가 성공적으로 설정 및 설치되었음을 나타냅니다.

 

 

VMware Identity Manager와 Active Directory 사용자 동기화


이 섹션에서는 VMware Identity Manager에 새 디렉토리를 추가한 다음 Active Directory의 사용자를 VMware Identity Manager 테넌트와 동기화하는 방법을 살펴봅니다.


 

LDAP를 통해 Active Directory 추가

 

VMware Identity Manager 관리 콘솔에서 다음을 수행합니다.

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Directories(디렉토리)를 클릭합니다.
  3. Add Directory(디렉토리 추가)를 클릭합니다.
  4. Add Active Directory over LDAP/IWA(Active Directory over LDAP/IWA 추가)를 클릭합니다.

 

 

동기화된 사용자가 있는지 확인

 

  1. Users & Groups(사용자 및 그룹)를 클릭합니다.
  2. corp.local 사용자가 동기화되어 여기에 표시되는지 확인합니다.

이를 통해 VMware Identity Manager 테넌트에 디렉토리가 추가되었으며 앞서 설치한 커넥터를 사용하여 Active Directory 사용자를 디렉토리에 동기화할 수 있다는 것을 확인했습니다.

 

도메인 사용자로 로그인


VMware Identity Manager Connector를 사용하여 corp.local 도메인 사용자를 VMware Identity Manager에 동기화했으므로 이제 VMware Identity Manager 콘솔에서 corp.local 도메인 사용자의 자격 증명을 제공하여 인증할 수 있는지 확인합니다.


 

corp.local 사용자가 로그인할 수 있는지 확인

 

  1. 옵션을 클릭합니다.
  2. New incognito window(새 시크릿 창)를 클릭합니다.
  3. https://vidm-01a.corp.local을 입력하여 VMware Identity Manager 콘솔의 로그인 화면으로 다시 이동합니다.

 

 

시크릿 세션 종료

 

시크릿 세션의 오른쪽 상단에서 닫기(X) 버튼을 클릭하여 VMware Identity Manager 관리 콘솔로 돌아갑니다.

 

Kerberos 인증 어댑터 설정


이 섹션에서는 IDM Connector를 통해 Windows 싱글 사인온(SSO)을 사용하도록 Kerberos 인증을 구성하는 방법을 살펴봅니다.


 

배치 파일을 사용하여 Kerberos 인증 설정

 

VMware Identity Manager Connector 서비스가 설치된 서버인 conn-01a.corp.local에 있는 setupKerberos.bat 파일을 실행해야 합니다.

바탕 화면에 있는 conn-01a.rdp 링크를 두 번 클릭하여 conn-01a 서버에 연결합니다.

 

 

커넥터에 Kerberos 인증 어댑터 설정

 

VMware Identity Manager 관리 콘솔에서 다음을 수행합니다.

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Setup(설정)을 클릭합니다.
  3. Connectors(커넥터)를 클릭합니다.
  4. Lab 작업자 링크를 클릭합니다.

 

 

정책 규칙 업데이트

 

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Manage(관리)를 클릭합니다.
  3. Policies(정책)를 클릭합니다.
  4. Edit Default Policy(기본 정책 편집)를 클릭합니다.

 

 

Workspace ONE 애플리케이션을 사용하여 Kerberos로 인증

 

바탕 화면에서 Win10-01a.rdp 바로 가기를 두 번 클릭합니다.

 

 

주 콘솔로 돌아가기

 

원격 데스크톱 세션 화면 상단의 X를 클릭하여 주 콘솔로 돌아갑니다.

 

추가 실습 모듈 수행을 위한 지침


 

이 실습의 추가 모듈을 수행하려는 경우 VMware Learning Platform에서 END(종료) 버튼을 클릭한 후 실습을 다시 실행하십시오.

이 실습의 각 모듈에서는 다양한 사용 사례에 VMware Identity Manager 및 VMware Identity Manager Connector 구성을 활용하므로 새 인프라로 다음 모듈을 수행하는 가장 빠른 방법은 실습을 다시 시작하는 것입니다.  다시 시작한 후 실습 지침 섹션에 나와 있는 대로 목차를 사용하여 다음 모듈로 이동합니다.


결론


이 실습에서는 VMware Identity Manager를 사내에 배포하는 프로세스를 완료했습니다. 이 배포는 표준 아키텍처에 따라 VMware Identity Manager의 여러 구성 요소가 별도의 전용 Windows 서버에 설치되어 있습니다. 이 아키텍처는 도메인에 가입하지 않은 Windows 서버를 실행하는 주 VMware Identity Manager 서비스와 도메인에 가입된 전용 Windows 서버에서 실행되는 VMware Identity Manager Connector 및 SQL Database로 구성됩니다.

각 구성 요소를 설치한 후 사용자 동기화 및 인증을 위해 VMware Identity Manager를 사내 Active Directory 서버와 통합했습니다. LDAP 및 Kerberos 프로토콜에 대한 인증을 구성하고 성공적으로 테스트했습니다.

이것으로 이 실습을 마치겠습니다.


모듈 3 - ADFS와 타사 ID 공급자 통합

소개


Active Directory Federation Services(ADFS)는 사용자에게 요청 기반 인증을 사용하여 애플리케이션과 시스템에 대한 싱글 사인온(SSO) 액세스를 제공하는 Windows Server 구성 요소입니다.  Active Directory Federation Services(ADFS)를 인증의 타사 ID 공급자로 사용하도록 VMware Identity Manager를 구성할 수 있습니다.  이 실습에서는 ADFS를 설치 및 구성하는 방법과 VMware Identity Manager에 타사 IdP로 ADFS를 추가하는 방법을 살펴봅니다.


 

사전 요구 사항

이 실습을 위해 모든 필수 구성 요소가 수강생에게 제공됩니다.

 

ADFS 개요


 

ADFS는 요청 기반 승인을 활용하여 ID 연합을 구현합니다.  기본적으로 VMware Identity Manager는 어설션 기반 승인 형식인 SAML(Security Assertion Markup Language)을 사용하며, SAML과 ADFS는 개념적으로 유사한 점이 많습니다. 위 표에 설명된 이러한 유사점을 검토하여 VMware Identity Manager와 ADFS의 통합을 이해할 수 있습니다.


 

ADFS 요청

요청은 사용자에 대한 설명으로, 신뢰할 수 있는 토큰에 포함되는 UPN(사용자 원이름), e-메일 주소, 역할, 그룹, Windows 계정 이름 등의 사용자에 대한 값입니다.  신뢰 당사자라고 하는 신뢰할 수 있는 사용자는 요청에 저장된 값을 사용하여 요청을 승인하는 방법을 결정합니다.

Active Directory와 같은 요청 공급자는 이러한 요청을 공급하고 서명합니다.  연합 서비스 브로커는 요청 공급자와 신뢰 당사자 간의 요청을 처리하고 교환하여 해당 당사자 간 신뢰를 중개함으로써 요청문을 기반으로 승인 결정을 내릴 수 있도록 합니다.

  1. 클라이언트는 웹 호스팅 애플리케이션과 같은 신뢰 당사자에 대한 액세스를 위해 신뢰할 수 있는 토큰을 요청합니다.
  2. 클라이언트는 신뢰할 수 있는 속성 저장소에 의해 검증된 ADFS에 대해 인증을 수행합니다.
  3. 성공적으로 인증되면 신뢰할 수 있는 토큰이 반환되어 클라이언트가 신뢰 당사자에게 신뢰할 수 있는 토큰을 제공합니다.
  4. 신뢰 당사자는 신뢰할 수 있는 토큰을 검증하여 액세스를 허용합니다.

 

ADFS 설치 및 구성(비디오 워크스루)


이 실습에서는 도메인 사용자를 인증하기 위해 ADFS를 설치 및 구성해야 합니다.  하지만 이 실습의 초점은 VMware Identity Manager를 기존 ADFS 배포와 통합하는 것이므로 처음부터 새로 ADFS 인스턴스를 설치하지는 않을 것입니다.

아래 비디오는 기본 ADFS 배포의 설치 및 구성 방법을 보여주며, 이 실습에서 이러한 배포는 이미 구성되어 있습니다.  초기 설치에 관심이 있는 경우 아래 비디오를 참조하여 프로세스를 단계별로 살펴볼 수 있습니다. 그렇지 않다면 다음 단계로 넘어가 실습을 계속 수행합니다.

 
 

ADFS 연합 메타데이터 XML 다운로드


VMware Identity Manager와 기존 ADFS 인스턴스 간에 신뢰를 수립하기 위해 ADFS 연합 메타데이터를 다운로드해야 합니다.  


 

연합 메타데이터 XML 다운로드

 

실습 바탕 화면에서 Chrome 브라우저를 두 번 클릭합니다.

 

 

연합 메타데이터 Endpoint 찾기

계속하기 전에 연합 메타데이터 Endpoint로 이동하는 방법이 궁금할 수 있습니다.  다음 단계를 검토하여 ADFS 서버에서 연합 메타데이터 Endpoint를 검색하는 방법을 확인하십시오.

 

VMware Identity Manager Connector 설치 및 구성


VMware Enterprise Systems Connector가 이미 다운로드되어 있습니다.  VMware Enterprise Systems Connector에는 AirWatch Cloud Connector(ACC) 및 VMware Identity Manager Connector 서비스가 모두 포함되어 있습니다.  이 실습에서는 Active Directory 사용자를 VMware Identity Manager 테넌트와 동기화하고 인증하기 위해 VMware Identity Manager Connector 서비스만 설치합니다.


 

VMware Enterprise Systems Connector 설치 프로그램 시작

 

  1. 작업 표시줄에서 파일 탐색기 아이콘을 클릭합니다.
  2. Documents(문서)를 클릭합니다.
  3. HOL을 클릭합니다.
  4. VMware Enterprise Systems Connector Installer.exe 파일을 두 번 클릭합니다.

 

주 콘솔로 돌아가기


 

VMware Identity Manager Connector를 설치했으면 주 콘솔에서 이 실습의 나머지 요구 사항을 구성하게 됩니다.

화면 상단의 원격 데스크톱 연결 표시줄에서 닫기(X) 버튼을 클릭합니다.

참고 - 원격 데스크톱 연결 표시줄이 보이지 않을 경우 표시줄 고정을 해제했을 수 있습니다.  마우스를 화면 상단 중앙 부분으로 가져가면 표시됩니다.


conn-01a 서버에 연결


 

바탕 화면에 있는 conn-01a.rdp 링크를 두 번 클릭하여 conn-01a 서버에 연결합니다.

이 실습의 초기 부분에서는 지정된 서버에 VMware Identity Manager Connector를 설치합니다.  전용 서버 또는 가상 머신(VM)에 VMware Identity Manager Connector를 설치할 것을 권장합니다.


Workspace ONE UEM 콘솔에 로그인


대부분의 실습은 Workspace ONE UEM 관리 콘솔에 로그인해야 수행할 수 있습니다.


 

Chrome 브라우저 실행

 

실습 바탕 화면에서 Chrome 브라우저를 두 번 클릭합니다.

 

 

Workspace ONE UEM 관리 콘솔 인증

 

브라우저의 기본 홈 페이지는 https://labs.awmdm.com입니다. Workspace ONE UEM 관리 계정 정보를 입력한 후 Log In(로그인) 버튼을 클릭합니다.

참고 - CAPTCHA가 표시될 경우 대소문자를 구분해야 합니다.

  1. User name(사용자 이름)을 입력합니다. 사용자 이름은 VMware Learning Platform(VLP) 계정에 연결된 e-메일 주소입니다.
  2. Password(암호)에 VMware1!(암호) 필드에 VMware1!를 입력합니다.
  3. Log In(로그인) 버튼을 클릭합니다.

참고 - 실습 환경의 제약 사항으로 인해 Workspace ONE UEM Hands-on Lab 서버에 접속하는 데 1분 정도 소요될 수 있습니다.

 

 

최종 사용자 라이센스 계약 동의

 

참고 - 다음 관리 콘솔 로그인 단계는 콘솔에 처음 로그인할 때만 수행합니다.

Workspace ONE UEM 이용 약관이 표시됩니다. ACCEPT(동의) 버튼을 클릭합니다.

 

 

초기 보안 설정

 

이용 약관에 동의하면 Security Settings(보안 설정) 팝업 창이 표시됩니다.  Password Recovery Question(암호 복구 질문)은 관리 암호를 잊어버린 경우를 위한 것이며 Security PIN(보안 PIN)은 콘솔의 특정 관리 기능을 보호하기 위한 것입니다.  

  1. Password Recovery Question(암호 복구 질문) 및 Security PIN(보안 PIN) 섹션을 보려면 아래로 스크롤해야 할 수 있습니다.
  2. Password Recovery Question(암호 복구 질문) 드롭다운에서 질문을 선택합니다(이 실습에서는 선택된 기본 질문을 사용).
  3. Password(암호)에 VMware1!(암호 복구 답변) 필드에 VMware1!를 입력합니다.
  4. Password(암호)에 VMware1! Password Recovery Answer(암호 복구 답변 확인) 필드에 VMware1!를 입력합니다.
  5. Security PIN(보안 PIN) 필드에 1234를 입력합니다.
  6. Confirm Security PIN(보안 PIN 확인) 필드에 1234를 입력합니다.
  7. 완료했으면 Save(저장) 버튼을 클릭합니다.

 

 

시작 메시지 닫기

 

보안 설정을 완료하면 Workspace ONE UEM 콘솔 팝업 창이 표시됩니다.

  1. Don't show this message on login(로그인 시 이 메시지 표시 안 함) 확인란을 클릭합니다.
  2. 오른쪽 상단의 X 아이콘을 클릭하여 팝업 창을 닫습니다.

 

VMware Identity Manager 콘솔에 로그인


이 실습에서 사용할 임시 VMware Identity Manager 테넌트가 생성되어 있습니다.  실습을 시작할 때 VMware Identity Manager 테넌트 URL 및 로그인 정보가 Workspace ONE UEM 콘솔의 Content(컨텐츠) 섹션에 업로드되었습니다.


 

Workspace ONE UEM 콘솔에서 테넌트 정보에 액세스

 

Workspace ONE UEM 콘솔에서 다음을 수행합니다.

  1. Content(컨텐츠)를 클릭합니다.
  2. Content Locker를 확장합니다.
  3. List View(목록 보기)를 클릭합니다.
  4. vIDM Tenant Details for your@email.shown.here.txt라는 이름의 텍스트 파일을 찾아 옆의 토글 버튼을 클릭하여 파일을 선택합니다.
  5. Download(다운로드)를 클릭합니다.

 

 

VMware Identity Manager 테넌트에 로그인

이제 다음 단계를 수행하기 위해 VMware Identity Manager 테넌트에 로그인합니다.

 

VMware Identity Manager 테넌트 구성


AirWatch 콘솔에서 디렉토리 서비스 및 VMware Identity Manager 설정을 구성하기 전에 몇 가지 VMware Identity Manager 테넌트 구성을 완료해야 Active Directory 사용자를 임포트하여 구성에 맞게 매핑할 수 있습니다.  

다음 단계를 계속 진행합니다.


 

사용자 속성 편집

 

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Setup(설정)을 클릭합니다.
  3. User Attributes(사용자 속성)를 클릭합니다.
  4. distinguishedName 필드 옆의 확인란을 클릭하여 설정합니다.
  5. userPrincipalName 필드 옆의 확인란을 클릭하여 설정합니다.
    참고 - distinguishedName 및 userPrincipalName 특성을 찾으려면 아래로 스크롤해야 할 수 있습니다.

 

 

사용자 속성 변경 사항 저장

 

  1. 페이지 맨 아래로 스크롤합니다.
  2. Save(저장)를 클릭합니다.

 

VMware Identity Manager Connector 생성 및 구성


 

VMware Identity Manager 관리 콘솔에서 다음을 수행합니다.

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Setup(설정)을 클릭합니다.
  3. Connectors(커넥터)를 클릭합니다.
  4. Add Connector(커넥터 추가)를 클릭합니다.

 

커넥터 활성화 코드 생성

 

  1. Connector ID Name(커넥터 ID 이름)에 Lab을 입력합니다.
  2. Generate Activation Code(활성화 코드 생성)를 클릭합니다.

 

 

커넥터 활성화

 

VMware Identity Manager Connector를 활성화하기 위해 8443 포트를 통해 VMware Identity Manager Connector 서비스가 설치된 호스트에 연결할 수 있습니다.  전 단계에서 conn-01a.corp.local에 VMware Identity Manager Connector 서비스를 설치했습니다.

  1. 옵션 버튼을 클릭합니다.
  2. New tab(새 탭)을 클릭합니다.
  3. https://conn-01a.corp.local:8443/cfg를 입력하고 Enter 키를 누릅니다.

 

 

커넥터 활성화 확인

 

VMware Identity Manager 콘솔에서 다음을 수행합니다.

  1. 브라우저의 새로 고침 버튼을 클릭합니다.
  2. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  3. Setup(설정)을 클릭합니다.
  4. Connectors(커넥터)를 클릭합니다.
  5. 이제 커넥터에 conn-01a.corp.local 호스트 이름과 Lab 작업자 이름이 표시되는지 확인합니다.

이는 VMware Identity Manager Windows Connector가 성공적으로 설정 및 설치되었음을 나타냅니다.

 

 

VMware Identity Manager와 Active Directory 사용자 동기화


이 섹션에서는 VMware Identity Manager에 새 디렉토리를 추가한 다음 Active Directory의 사용자를 VMware Identity Manager 테넌트와 동기화하는 방법을 살펴봅니다.


 

Active Directory over LDAP 추가

 

VMware Identity Manager 관리 콘솔에서 다음을 수행합니다.

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Directories(디렉토리)를 클릭합니다.
  3. Add Directory(디렉토리 추가)를 클릭합니다.
  4. Add Active Directory over LDAP/IWA(Active Directory over LDAP/IWA 추가)를 클릭합니다.

 

 

동기화된 사용자가 있는지 확인

 

  1. Users & Groups(사용자 및 그룹)를 클릭합니다.
  2. corp.local 사용자가 동기화되어 여기에 표시되는지 확인합니다.

이를 통해 VMware Identity Manager 테넌트에 디렉토리가 추가되었으며 앞서 설치한 커넥터를 사용하여 Active Directory 사용자를 디렉토리에 동기화할 수 있다는 것을 확인했습니다.

 

타사 ID 공급자 생성


ADFS로 사용자를 인증하려면 VMware Identity Manager에 타사 ID 공급자(IdP)를 만들고 연합 서비스에서 다운로드한 FederationMetadata.xml을 사용하여 ID 공급자인 ADFS와 서비스 공급자인 VMware Identity Manager 간에 신뢰를 수립해야 합니다.  


 

ADFS 연합 메타데이터 XML 복사

 

  1. 작업 표시줄에서 파일 탐색기 아이콘을 클릭합니다.
  2. Documents(문서)를 클릭합니다.
  3. FederationMetadata.xml을 마우스 오른쪽 버튼으로 클릭합니다.
  4. Edit with Notepad++(메모장++를 이용한 편집)를 클릭합니다.

 

 

VMware Identity Manager에서 타사 ID 공급자 생성

 

Chrome에서 VMware Identity Manager 관리 콘솔로 이동합니다.

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Identity Providers(ID 공급자)를 클릭합니다.
  3. Add Identity Provider(ID 공급자 추가)를 클릭합니다.
  4. Create Third Party IDP(타사 IdP 생성)를 클릭합니다.

 

VMware Identity Manager에서 액세스 정책 구성


VMware Identity Manager에서 ADFS에 대한 타사 IdP를 만들었으므로 이제 기본 액세스 정책 규칙을 사용하여 암호(AirWatch Connector) 방법을 통해 도메인 사용자를 인증하는 대신 액세스 정책에서 생성한 인증 방법을 사용하여 타사 IdP 인증 방법으로 도메인 사용자를 인증해야 합니다.


 

액세스 정책 편집

 

  1. Identity & Access Management(ID 및 액세스 관리)를 클릭합니다.
  2. Policies(정책)를 클릭합니다.
  3. default_access_policy_set를 클릭하여 편집합니다.

 

 

도메인 사용자를 위한 새 정책 규칙 생성

 

  1. Configuration(구성) 탭 클릭
  2. Add Policy Rule(정책 규칙 추가)을 클릭합니다.

 

 

업데이트된 정책 규칙 저장

 

Save(저장)를 클릭합니다.

 

ADFS에서 신뢰 당사자 신뢰 구성


VMware Identity Manager에 타사 IdP를 구성하고 서비스 공급자 메타데이터를 확보했으므로 이제 VMware Identity Manager 테넌트에 대해 ADFS에서 신뢰 당사자의 신뢰를 구성할 수 있습니다.  서비스 공급자 메타데이터를 사용하여 ID 공급자인 ADFS와 서비스 공급자인 VMware Identity Manager 간에 신뢰를 수립합니다.


 

adfs-01a 서버에 연결

 

바탕 화면에서 adfs-01a.rdp 링크를 두 번 클릭합니다.

VMware Identity Manager에 대한 신뢰를 수립하기 위해 ADFS 구성을 수정해야 하며, 이는 ADFS를 설치한 서버에서 수행해야 합니다.

 

 

sp.xml 파일 붙여넣기

 

  1. 작업 표시줄에서 File Explorer(파일 탐색기) 아이콘을 클릭합니다.
  2. Downloads(다운로드)를 클릭합니다.
  3. 다운로드 폴더 내에서 마우스 오른쪽 버튼을 클릭하고 Paste(붙여넣기)를 클릭합니다.

 

 

신뢰 당사자 신뢰 추가

 

AD FS Management(ADFS 관리)로 돌아갑니다.  창을 닫은 경우 Server Manager(서버 관리자)로 이동하여 Tools > AD FS Management(툴> ADFS 관리)를 클릭하거나 시작 메뉴에서 "AD FS Management"(ADFS 관리)를 검색할 수 있습니다.

  1. Trust Relationships(신뢰 관계)를 확장합니다.
  2. Relying Party Trusts(신뢰 당사자 신뢰)를 클릭합니다.
  3. Add Relying Party Trust(신뢰 당사자 신뢰 추가)를 클릭합니다.

Add Relying Party Trust Wizard(신뢰 당사자 신뢰 추가 마법사)가 열리면 Start(시작)를 클릭하여 프로세스를 시작합니다.

 

 

신뢰 당사자에 대한 요청 규칙 추가

사용자를 올바르게 인증하려면 신뢰 당사자에 대한 요청 규칙을 추가해야 합니다. 요청 규칙은 요청 흐름을 제어하며 하나 이상의 수신 요청을 받아 이러한 요청에 조건을 적용한 다음 하나 이상의 송신 요청을 생성하는 작업을 담당합니다.  요청 규칙 및 요청 엔진은 요청을 수신된 상태 그대로 송신할지, 특정 비즈니스 논리 기준을 충족하기 위해 필터링해야 할지, 또는 요청을 송신하기 전에 새로운 요청 집합으로 변환해야 할지 결정합니다.  

즉, 요청 규칙은 수신 요청을 검사 및 처리하여 어떤 사용자를 어떻게 인증할지 결정하는 송신 요청으로 변환하는 로직이라고 할 수 있습니다.  자세한 내용은 the Role of Claim Rules(클레임은 규칙의 역할) 설명서를 참조하십시오.

이 실습에서는 두 가지 유형의 요청 규칙을 만들어야 합니다.  

  1. LDAP 속성을 요청으로 전송:  송신 요청에 인증에 사용할 수 있는 속성 저장소(이 경우 Active Directory)의 LDAP 속성 값이 포함된다는 것을 의미합니다.
  2. 사용자 지정 규칙을 사용하여 요청 전송:  요청 규칙 언어를 사용하여 요청을 생성하고 VMware Identity Manager에서 사용자를 인증하는 데 필요한 특정 비즈니스 논리 요구 사항을 처리할 수 있도록 변환합니다.

 

 

주 콘솔로 돌아가기

 

원격 데스크톱 연결 표시줄에서 닫기(X) 버튼을 클릭하여 주 콘솔로 돌아갑니다.

 

도메인 사용자로 로그인


ID 공급자인 ADFS와 서비스 공급자인 VMware Identity Manager 테넌트 간에 신뢰가 수립되었으며, 수신 요청을 VMware Identity Manager 테넌트가 처리할 수 있는 형식으로 변환하여 발급하도록 신뢰 당사자 요청 규칙을 구성했으므로 이제 corp.local 도메인 사용자를 사용하여 로그인을 시도함으로써 구성이 작동하는지 확인해야 합니다.


 

Windows 10 가상 머신에 연결

 

바탕 화면에서 Win10-01a.rdp 원격 데스크톱 연결 바로 가기를 두 번 클릭합니다.

 

 

브라우저에서 도메인 사용자로 인증

 

  1. Google Chrome을 엽니다.
  2. VMware Identity Manager 테넌트 URL(https://{yourtenant}.vidmpreview.com)로 이동합니다.
    참고: {yourtenant}를 테넌트 이름으로 교체하십시오.
  3. 사용자 이름에 동기화된 corp.local 도메인 사용자 중 하나인 holuser를 입력합니다.  이 계정은 연결된 Win10-01a 가상 머신에 현재 로그인되어 있는 사용자 계정이기도 합니다.
  4. Remember this setting(이 설정 기억)의 선택을 취소합니다.
  5. Next(다음)를 클릭합니다.

참고: 인증을 처리하는 데 몇 초 정도 걸릴 수 있으므로 Next(다음)를 클릭한 후 잠시 기다려야 합니다.

 

 

VMware Workspace ONE 애플리케이션에서 도메인 사용자로 인증

 

  1. VMware Workspace ONE 애플리케이션을 실행합니다.
  2. VMware Identity Manager 테넌트 URL(https://{yourtenant}.vidmpreview.com)을 입력합니다.
    참고: {yourtenant}를 테넌트 이름으로 교체하십시오.
  3. Continue(계속)를 클릭합니다.

 

 

승인 쿠키 지우기(필요할 경우)

 

승인 쿠키는 VMware Identity Manager에 대한 인증 후 8시간 동안 유지됩니다.  테스트를 위해 다시 인증해야 하는 경우 구성한 액세스 정책 규칙의 재인증 타이머를 단축하거나 인증 쿠키를 삭제하여 브라우저 및 VMware Workspace ONE 애플리케이션 세션이 제거되어 사용자를 다시 승인하도록 할 수 있습니다.

  1. Google Chrome을 열고 옵션 버튼을 클릭합니다.
  2. Settings(설정)를 클릭합니다.

 

문제 해결


이 섹션에서는 타사 IdP를 VMware Identity Manager와 통합하려고 시도할 때 발생할 수 있는 몇 가지 문제점과 이러한 문제를 해결할 수 있는 방법에 대해 알아봅니다.


 

VMware Identity Manager 테넌트에 로그인할 수 없음

문제점:

액세스 정책이 잘못 구성되면 일부 또는 모든 사용자가 인증에 실패할 수 있습니다.  이 경우 로컬 계정도 문제를 해결하기 위해 테넌트에 로그인할 수 없습니다.

솔루션:

테넌트에 로그인하여 인증 문제를 일으키는 구성된 액세스 정책을 우회하려면 다음과 같이 기본 로그인 URL에 ?login을 추가합니다.

https://<tenantURL>/SAAS/auth/login?login

 

 

VMware Identity Manager: 오류: ID 공급자를 업데이트할 수 없음

문제점:

ID 공급자를 추가 또는 편집하거나 인증 방법을 추가 또는 업데이트하려고 할 때 “Cannot update Identity Provider”(ID 공급자를 업데이트할 수 없음)라는 오류가 발생합니다.  이 경우 저장을 클릭했을 때 인증 방법을 추가하거나 편집할 수 없습니다.

솔루션:

SAML 컨텍스트 이름은 기본 인증 방법에 사용되는 이름을 포함하여 VMware Identity Manager 테넌트에서 고유해야 합니다.  선택된 인증 방법의 SAML 컨텍스트 이름을 변경하고 저장을 클릭합니다.

 

 

VMware Identity Manager: 404.idp.not.found/federationArtifact.not.found 연합 아티팩트를 찾을 수 없음

문제점:

VMware Identity Manager에 로그인하려고 할 때 "404.idp.not.found", "federationArtifact.not.found Federation Artifact not found"(federationArtifact.not.found 연합 아티팩트를 찾을 수 없음) 또는 사용자를 인증하기 위해 ID 공급자 또는 연합 아티팩트를 찾을 수 없다는 내용의 오류 메시지가 표시됩니다.  이러한 오류는 네트워크 범위, 기기 유형, 사용자 그룹 또는 시도된 인증 방법에 대한 인증을 처리하는 액세스 정책을 설정하지 않았거나 신뢰 당사자에 대한 요청 규칙이 잘못 구성된 경우에 발생합니다.

솔루션:

 

 

ADFS 오류: 시스템 관리자에게 문의

문제점:

사용자가 ADFS에 대한 요청 기반 인증을 사용하여 인증을 시도하면 로그인 페이지에 "Error: Contact your administrator"(오류: 시스템 관리자에게 문의)라는 메시지가 표시됩니다.  이는 ADFS가 요청을 제대로 인증할 수 없기 때문에 발생합니다.

문제점:

 

 

ADFS: 인증 요청 실패 및 로그 확인

 

 

문제점:

사용자가 VMware Identity Manager에서 ADFS에 대한 요청 기반 인증을 사용하여 인증을 시도하면 자격 증명을 위해 해당 ADFS로 리디렉션되지만 인증할 수 없다는 오류가 발생합니다.  ADFS가 잘못 구성되어 수신 요청 처리 및 송신 요청 생성과 관련된 문제 또는 인증에 실패하게 만드는 다른 문제를 일으킬 수 있습니다.

솔루션:

두 가지 솔루션 모두 인증 시도를 추적할 수 있습니다.  인증 실패 및 문제는 일반적으로 심각도가 오류 또는 위험으로 기록되므로 로그를 검사하여 인증 실패의 원인을 확인합니다.  일반적인 인증 문제는 다음과 같습니다.

 

추가 실습 모듈 수행을 위한 지침


 

이 실습의 추가 모듈을 수행하려는 경우 VMware Learning Platform에서 END(종료) 버튼을 클릭한 후 실습을 다시 실행하십시오.

이 실습의 각 모듈에서는 다양한 사용 사례에 VMware Identity Manager 및 VMware Identity Manager Connector 구성을 활용하므로 새 인프라로 다음 모듈을 수행하는 가장 빠른 방법은 실습을 다시 시작하는 것입니다.  다시 시작한 후 실습 지침 섹션에 나와 있는 대로 목차를 사용하여 다음 모듈로 이동합니다.


결론


VMware Identity Manager는 ADFS를 타사 ID 공급자로 활용하여 요청 기반 액세스 제어 승인 모델을 통해 사용자를 안전하게 인증할 수 있습니다.  기존의 ADFS 배포를 VMware Identity Manager와 함께 활용하여 이미 수립된 인증 정책을 다시 만들지 않고 조직 전체의 시스템 및 애플리케이션에 싱글 사인온(SSO) 액세스를 제공하는 방법을 고려해 볼 수 있습니다.

추가 ADFS 설명서는 Microsoft의 문서에서 확인할 수 있습니다.


모듈 4 - VMware Identity Manager REST API

소개


VMware Identity Manager REST API를 사용하면 다양한 관리 작업을 자동화할 수 있습니다.  이 실습에서는 REST API를 사용하여 수행할 수 있는 몇 가지 샘플 작업과 oAuth를 사용하여 올바르게 인증하는 방법에 대해 살펴봅니다.  목표는 Identity Manager에 새 로컬 사용자 계정과 웹 링크 애플리케이션을 생성한 후 이 애플리케이션을 업데이트하여 생성된 사용자에게 권한을 부여하는 것입니다.  

결과적으로 생성된 사용자를 사용하여 Workspace ONE 콘솔에 로그인한 후 웹 링크 애플리케이션을 성공적으로 실행할 수 있어야 합니다.


Workspace ONE UEM 콘솔에 로그인


대부분의 실습은 Workspace ONE UEM 관리 콘솔에 로그인해야 수행할 수 있습니다.


 

Chrome 브라우저 실행

 

실습 바탕 화면에서 Chrome 브라우저를 두 번 클릭합니다.

 

 

Workspace ONE UEM 관리 콘솔 인증

 

브라우저의 기본 홈 페이지는 https://labs.awmdm.com입니다. Workspace ONE UEM 관리 계정 정보를 입력한 후 Log In(로그인) 버튼을 클릭합니다.

참고 - CAPTCHA가 표시될 경우 대소문자를 구분해야 합니다.

  1. User name(사용자 이름)을 입력합니다. 사용자 이름은 VMware Learning Platform(VLP) 계정에 연결된 e-메일 주소입니다.
  2. Password(암호) 필드에 VMware1!를 입력합니다.
  3. Log In(로그인) 버튼을 클릭합니다.

참고 - 실습 환경의 제약 사항으로 인해 Workspace ONE UEM Hands-on Lab 서버에 접속하는 데 1분 정도 소요될 수 있습니다.

 

 

최종 사용자 라이센스 계약 동의

 

참고 - 다음 관리 콘솔 로그인 단계는 콘솔에 처음 로그인할 때만 수행합니다.

Workspace ONE UEM 이용 약관이 표시됩니다. ACCEPT(동의) 버튼을 클릭합니다.

 

 

초기 보안 설정

 

이용 약관에 동의하면 Security Settings(보안 설정) 팝업 창이 표시됩니다.  Password Recovery Question(암호 복구 질문)은 관리 암호를 잊어버린 경우를 위한 것이며 Security PIN(보안 PIN)은 콘솔의 특정 관리 기능을 보호하기 위한 것입니다.  

  1. Password Recovery Question(암호 복구 질문) 및 Security PIN(보안 PIN) 섹션을 보려면 아래로 스크롤해야 할 수 있습니다.
  2. Password Recovery Question(암호 복구 질문) 드롭다운에서 질문을 선택합니다(이 실습에서는 선택된 기본 질문을 사용).
  3. Password Recovery Answer(암호 복구 답변) 필드에 VMware1!를 입력합니다.
  4. Confirm Password Recovery Answer(암호 복구 답변 확인) 필드에 VMware1!를 입력합니다.
  5. Security PIN(보안 PIN) 필드에 1234를 입력합니다.
  6. Confirm Security PIN(보안 PIN 확인) 필드에 1234를 입력합니다.
  7. 완료했으면 Save(저장) 버튼을 클릭합니다.

 

 

시작 메시지 닫기

 

보안 설정을 완료하면 Workspace ONE UEM 콘솔 팝업 창이 표시됩니다.

  1. Don't show this message on login(로그인 시 이 메시지 표시 안 함) 확인란을 클릭합니다.
  2. 오른쪽 상단의 X 아이콘을 클릭하여 팝업 창을 닫습니다.

 

VMware Identity Manager 콘솔에 로그인


이 실습에서 사용할 임시 VMware Identity Manager 테넌트가 생성되어 있습니다.  실습을 시작할 때 VMware Identity Manager 테넌트 URL 및 로그인 정보가 Workspace ONE UEM 콘솔의 Content(컨텐츠) 섹션에 업로드되었습니다.


 

Workspace ONE UEM 콘솔에서 테넌트 정보에 액세스

 

Workspace ONE UEM 콘솔에서 다음을 수행합니다.

  1. Content(컨텐츠)를 클릭합니다.
  2. Content Locker를 확장합니다.
  3. List View(목록 보기)를 클릭합니다.
  4. vIDM Tenant Details for your@email.shown.here.txt라는 이름의 텍스트 파일을 찾아 옆의 토글 버튼을 클릭하여 파일을 선택합니다.
  5. Download(다운로드)를 클릭합니다.

 

 

VMware Identity Manager 테넌트에 로그인

이제 다음 단계를 수행하기 위해 VMware Identity Manager 테넌트에 로그인합니다.

 

Postman 열기


이 실습에서는 Postman이라는 REST 클라이언트를 사용하여 API 요청을 설정한 후 VMware Identity Manager로 전송합니다.


 

Postman 열기

 

바탕 화면에서 Postman 아이콘을 두 번 클릭합니다.

참고 - 아이콘을 두 번 클릭한 후 Postman이 로드되는 데 몇 초 정도 걸릴 수 있습니다.  애플리케이션이 실행될 때까지 기다리십시오.

 

 

VMware Identity Manager 도메인 이름 적어두기

Workspace ONE UEM 콘솔에 있는 vIDM Tenant Details 텍스트 파일에는 Tenant URL(테넌트 URL)이라는 필드가 포함되어 있습니다.  

실습에서 추가적으로 API 요청을 리디렉션하는 VMware Identity Manager FQDN(정규화된 도메인 이름)을 테넌트 인스턴스로 교체해야 하며, 이는 Tenant URL(테넌트 URL) 필드이므로 이를 적어 둡니다(예: https://yourtenantname.vidmpreview.com).

 

oAuth sessionToken 요청


 

  1. Verb(동사)로 POST를 선택합니다.
  2. 요청 URL에 https://{your_tenant_fqdn}/SAAS/API/1.0/REST/auth/system/login을 입력합니다.
    참고 - {your_tenant_fqdn}을 VMware Identity Manager 테넌트의 FQDN(정규화된 도메인 이름)으로 교체합니다.
  3. Headers(헤더) 탭을 클릭합니다.
  4. Key(키) 필드에 Content-Type(컨텐츠-유형)을 입력합니다.
  5. Value(값) 필드에 application/json을 입력합니다.
  6. Key(키) 필드에 Accept(수락)를 입력합니다.
  7. Value(값) 필드에 application/json을 입력합니다.

 

요청 본문 설정

 

  1. Body(본문) 탭을 클릭합니다.
  2. raw(원시)를 선택합니다.
  3. 본문에 아래 JSON 데이터를 입력합니다.
    {"username":"Administrator", "password":"VMware1!","issueToken":"true"}
  4. Send(전송)를 클릭합니다.

 

 

 

API 응답 보기

 

  1. 아래로 스크롤하여 응답을 확인합니다.
  2. Pretty(보기 좋은) 서식 옵션을 클릭합니다.
  3. 응답을 보기 쉽게 자동 줄 바꿈이 설정되어 있는지 확인합니다.
  4. 응답에서 sessionToken 필드를 확인합니다.  이 실습의 나머지 부분에서 API에 인증할 때 사용하는 oAuth 키입니다.  텍스트를 선택한 후(인용 부호 제외) 마우스 오른쪽 버튼으로 클릭합니다.
  5. Copy(복사)를 클릭합니다.

 

 

sessionToken 값 저장

 

  1. Windows 버튼을 클릭합니다.
  2. Notepad(메모장)를 입력하여 검색합니다.
  3. 결과 목록에서 Notepad(메모장)를 클릭합니다.

 

Identity Manager에 로컬 사용자 생성


성공적인 인증을 통해 반환된 유효한 sessionToken을 적용하여 VMware Identity Manager 테넌트에 인증된 요청을 하고 API를 사용하여 로컬 사용자를 생성합니다.


 

요청 헤더 설정

 

  1. Verb(동사)로 POST를 선택합니다.
  2. 요청 URL에 https://{your_tenant_fqdn}/SAAS/jersey/manager/api/scim/Users를 입력합니다.
    참고 - {your_tenant_fqdn}을 VMware Identity Manager 테넌트의 FQDN(정규화된 도메인 이름)으로 교체합니다.
  3. Headers(헤더) 탭을 클릭합니다.
  4. Key(키)에 Authorization(승인)을 입력합니다.
  5. Value(값)에 HZN 을 입력합니다.  
    참고 - "HZN" 뒤에 공백이 있어야 합니다. HZN 뒤에 sessionToken을 붙여 넣었을 때 HZN {sessionToken}으로 표시되어야 요청이 실패하지 않습니다.
  6. Paste(붙여넣기)를 클릭하여 복사한 sessionToken을 삽입합니다.

 

 

요청 본문 설정

 

  1. Body(본문) 탭을 클릭합니다.
  2. raw(원시)를 선택합니다.
  3. 본문에 아래 JSON 데이터를 입력합니다.
    {"schemas": [ "urn:scim:schemas:core:1.0" ], "userName": "apiuser", "name": { "givenName": "API", "familyName": "User" }, "emails": [ { "value": "apiuser@test.com" } ], "password": "VMware1!" }
  4. Send(전송)를 클릭합니다.

 

 

응답 보기

 

  1. 아래로 스크롤하여 응답을 확인합니다.
  2. Status(상태)가 201 Created(201 생성됨)로 표시되는지 확인합니다.  이를 통해 사용자가 생성되었음을 알 수 있습니다.
  3. API 요청의 응답을 검토하여 생성된 사용자 세부 정보가 이전 단계에서 요청 본문에 제공한 값과 일치하는지 확인합니다.  apiuser 데이터를 찾은 다음 id 필드를 찾아 텍스트를 선택한 후(인용 부호 제외) 마우스 오른쪽 버튼으로 클릭합니다.
  4. Copy(복사)를 클릭합니다.

 

 

생성된 사용자의 ID 저장

 

  1. 작업 표시줄에서 메모장 아이콘을 클릭합니다.
  2. 메모장 파일의 sessionToken 아래에 Created User ID: (생성된 사용자 ID)를 입력합니다.
  3. 마우스 오른쪽 버튼으로 클릭하고 Paste(붙여넣기)를 클릭합니다.

이후 단계에서 Created User ID(생성된 사용자 ID)를 입력해야 할 경우 메모장 파일에서 여기에 붙여 넣은 값을 참조합니다.

 

 

Identity Manager 관리 콘솔에서 생성된 사용자 확인

 

VMware Identity Manager 관리 콘솔로 돌아가 다음을 수행합니다.

  1. Users & Groups(사용자 및 그룹)를 클릭합니다.
  2. User,API(사용자, API) 항목을 클릭합니다.

 

 

사용자 세부 정보 확인

 

  1. 스크롤하여 사용자 세부 정보가 API 요청에 입력한 값과 일치하는지 확인합니다.
  2. Back to User List(사용자 목록으로 돌아가기)를 클릭합니다.

 

Identity Manager에 사용자 목록 표시


사용자를 생성하는 것 외에도 Identity Manager에서 사용자 목록을 쿼리할 수 있습니다.


 

Identity Manager에 사용자 목록 표시

 

요청 URL은 이전 실습과 동일한 https://{your_tenant_fqdn}/SAAS/jersey/manager/api/scim/Users를 사용합니다.

  1. Verb(동사)로 GET을 선택합니다.
  2. Send(전송)를 클릭합니다.
  3. 아래로 스크롤하여 응답을 확인합니다.
  4. 쿼리에서 반환된 결과를 검토합니다.

스크롤하여 응답을 살펴보고 반환된 사용자의 기타 세부 정보를 확인합니다.

 

Identity Manager에 웹 링크 애플리케이션 생성


API를 사용하여 Identity Manager에서 애플리케이션을 관리할 수도 있습니다.  API를 사용하여 웹 링크 유형의 애플리케이션을 만드는 방법을 살펴보겠습니다.


 

요청 헤더 설정

 

  1. Verb(동사)로 POST를 선택합니다.
  2. 요청 URL에 https://{your_tenant_fqdn}/SAAS/jersey/manager/api/catalogitems를 입력합니다.
    참고 - {your_tenant_fqdn}을 VMware Identity Manager 테넌트의 FQDN(정규화된 도메인 이름)으로 교체합니다.
  3. Headers(헤더) 탭을 클릭합니다.
  4. Content-Type(컨텐츠-유형) 헤더의 Value(값)를 application/vnd.vmware.horizon.manager.catalog.webapplink+json으로 변경합니다.
  5. Accept(수락) 헤더의 Value(값)를 application/vnd.vmware.horizon.manager.catalog.webapplink+json으로 변경합니다.

 

 

요청 본문 설정

 

  1. Body(본문) 탭을 클릭합니다.
  2. raw(원시)를 선택합니다.
  3. 서식을 Text(텍스트)로 둡니다.  일반적으로 작업 중인 서식에 따라 application/json 또는 application/xml을 선택할 것입니다. 그러나 이 서식을 application/json으로 변경할 경우 바로 위에서 업데이트한 Content-Type(컨텐츠-유형) 헤더도 application/json으로 업데이트되어 요청이 실패하게 됩니다.  여기서 선택한 서식은 요청을 올바르게 설정하도록 Postman에서만 적용되는 것으로, Text(텍스트) 서식 옵션이 API 요청 자체에는 영향을 미치지 않습니다.
  4. 본문에 아래 JSON 데이터를 입력합니다.
    { "catalogItemType": "WebAppLink", "uuid": "85c040cf-b389-41a0-9efe-c7ca64f985c4", "packageVersion": "1.0", "name": "API Generated Weblink", "productVersion": null, "description": "Web Link Generated by API Lab", "authInfo": { "type": "WebAppLink", "targetUrl" : "https://www.vmware.com" } }
  5. Send(전송)를 클릭합니다.

 

 

API 응답 보기

 

  1. 아래로 스크롤하여 응답을 확인합니다.
  2. Status(상태)가 애플리케이션이 생성되었음을 나타내는 201 Created(201 생성됨)로 표시되는지 확인합니다.
  3. Body(본문) 탭을 클릭합니다.
  4. 응답에서 uuid 값을 찾아 요청 본문에 제공한 uuid(85c040cf-b389-41a0-9efe-c7ca64f985c4)와 일치하는지 확인합니다.  이 값을 선택한 후(인용 부호 제외) 마우스 오른쪽 버튼으로 클릭합니다.
  5. Copy(복사)를 클릭합니다.

생성된 웹 링크 애플리케이션의 uuid를 사용할 것입니다.

 

 

생성된 애플리케이션의 uuid 복사

 

  1. 작업 표시줄에서 메모장 아이콘을 클릭합니다.
  2. Created Application UUID: (생성된 애플리케이션 UUID)를 입력한 후 텍스트 끝에서 마우스 오른쪽 버튼으로 클릭합니다.
  3. Paste(붙여넣기)를 클릭하여 uuid를 추가합니다.

이후 단계에서 생성된 애플리케이션의 uuid를 사용하라는 메시지가 표시되면 여기에 붙여 넣은 값을 참조합니다.

 

로컬 사용자에게 웹 링크 애플리케이션에 대한 권한 부여


생성된 웹 링크 애플리케이션에는 현재 권한이 부여된 사용자가 없으므로 누구도 생성된 애플리케이션에 액세스할 수 없습니다.  이전에 생성한 로컬 사용자를 포함하도록 이 애플리케이션의 권한 부여를 업데이트하여 로컬 사용자가 Identity Manager에서 애플리케이션에 액세스하도록 허용할 수 있습니다.


 

요청 헤더 설정

 

  1. Verb(동사)로 POST를 선택합니다.
  2. 요청 URL에 https://{your_tenant_fqdn}/SAAS/jersey/manager/api/entitlements/definitions를 입력합니다.
    참고 - {your_tenant_fqdn}을 VMware Identity Manager 테넌트의 FQDN(정규화된 도메인 이름)으로 교체합니다.
  3. Headers(헤더) 탭을 클릭합니다.
  4. Content-Type(컨텐츠-유형) 헤더의 Value(값)로 application/vnd.vmware.horizon.manager.entitlements.definition.bulk+json을 입력합니다.
  5. Accept(수락) 헤더의 Value(값)로 application/vnd.vmware.horizon.manager.bulk.sync.response+json을 입력합니다.

 

 

요청 본문 설정

 

  1. Body(본문) 탭을 클릭합니다.
  2. raw(원시)를 선택합니다.
  3. 서식을 Text(텍스트)로 둡니다.  이 값을 변경하면 Postman이 자동으로 변경된 값에 따라 Content-Type(컨텐츠-유형) 헤더를 업데이트하게 되어 application/json으로 다시 변경하면 요청이 실패하게 되므로 위에서와 같이 이 값을 변경하지 않을 것입니다.
  4. 본문에 아래 JSON 데이터를 입력합니다.
    { "returnPayloadOnError" : true, "operations" : [ { "method" : "POST", "data" : { "catalogItemId" : "{YOUR_WEBLINK_UUID}", "subjectType" : "USERS", "subjectId" : "{YOUR_CREATED_USER_ID}", "activationPolicy" : "AUTOMATIC" } }], "_links" : { } }
  5. {YOUR_WEBLINK_UUID} 텍스트를 메모장 파일의 Created Application UUID(생성된 애플리케이션 UUID) 값으로 교체합니다.  앞뒤의 인용 부호는 제거하지 마십시오!
  6. {YOUR_CREATED_USER_ID} 텍스트를 메모장 파일의 Created User ID(생성된 사용자 ID) 값으로 교체합니다.  앞뒤의 인용 부호는 제거하지 마십시오!
  7. Send(전송)를 클릭합니다.

 

 

API 응답 보기

 

  1. 아래로 스크롤하여 API 응답을 확인합니다.
  2. Status(상태)가 200 OK로 표시되어 대량 작업 요청이 성공적으로 완료되었는지 확인합니다.
  3. Body(본문) 탭을 클릭합니다.
  4. 작업 어레이의 code(코드) 필드가 201로 표시되는지 확인합니다.  이는 catalogItemId를 subjectId로 업데이트하는 작업이 성공적으로 수행되었음을 나타냅니다.  JSON 본문에 여러 작업을 포함한 경우 각 작업의 상태 응답을 통해 그 수행 결과를 확인할 수 있습니다.

 

 

Identity Manager 관리 콘솔에서 애플리케이션 권한 부여 확인

 

Identity Manager 관리 콘솔로 돌아갑니다.

  1. Catalog(카탈로그)를 클릭합니다.
  2. API Generated Weblink(API 생성 웹 링크) 옆의 확인란을 클릭하여 선택합니다.
  3. Assign(할당)을 클릭합니다.

 

 

API 생성 웹 링크 할당 확인

 

  1. API 사용자가 이미 사용자 목록에 포함되어 있고 Deployment Type(배포 유형)이 Automatic(자동)으로 설정되어 있는지 확인합니다.  이 권한은 API 요청의 JSON 본문에 포함한 규격에 따라 추가되었습니다.
  2. 닫기(X)를 클릭합니다.

 

 

생성된 사용자로 웹 링크 애플리케이션 테스트

이제 생성된 사용자로 Workspace ONE 포털에 로그인하여 생성된 애플리케이션이 표시되고 성공적으로 실행되는지 확인합니다.

 

추가 실습 모듈 수행을 위한 지침


 

이 실습의 추가 모듈을 수행하려는 경우 VMware Learning Platform에서 END(종료) 버튼을 클릭한 후 실습을 다시 실행하십시오.

이 실습의 각 모듈에서는 다양한 사용 사례에 VMware Identity Manager 및 VMware Identity Manager Connector 구성을 활용하므로 새 인프라로 다음 모듈을 수행하는 가장 빠른 방법은 실습을 다시 시작하는 것입니다.  다시 시작한 후 실습 지침 섹션에 나와 있는 대로 목차를 사용하여 다음 모듈로 이동합니다.


결론


이 실습에서는 IDM API를 사용하여 다양한 관리 작업을 자동화하는 방법을 배웠습니다.  추가 API 설명서는 VMware Identity Manager API 참조 페이지(https://code.vmware.com/apis/57/idm?h=Identity#/)를 참조하십시오.


결론

VMware Hands-on Lab에 참여해 주셔서 감사합니다. http://hol.vmware.com/ 에서 더 많은 온라인 실습을 체험하시기 바랍니다.

실습 SKU: HOL-1957-02-UEM

버전: 20190422-203914