내보내기(0) 인쇄
모두 확장

규칙 그룹 및 규칙

게시: 2011년 4월

업데이트 날짜: 2014년 2월

적용 대상: Azure

Microsoft Azure Active Directory 액세스 제어(액세스 제어 서비스 또는 ACS라고도 함)에서 규칙 그룹은 ID 공급자에서 신뢰 당사자 응용 프로그램으로 전달되는 ID 클레임을 정의하는 명명된 클레임 규칙 집합입니다. ACS에서 규칙 그룹은 신뢰 당사자 응용 프로그램과 연결됩니다. 한 규칙 그룹을 여러 신뢰 당사자 응용 프로그램에서 사용할 수 있으며, 한 신뢰 당사자 응용 프로그램이 여러 규칙 그룹을 참조할 수 있습니다.

ACS는 ID 공급자로부터 토큰 요청이나 토큰을 받으면 신뢰 당사자 응용 프로그램과 연결된 모든 규칙 그룹을 실행하여 토큰의 클레임을 처리합니다. 모든 규칙 그룹은 동시에 실행되며, 각 규칙 그룹의 모든 규칙도 동시에 실행됩니다(순서는 관계없음). 실행이 완료된 후 규칙으로 인해 새 클레임이 발급되는 경우에는 신뢰 당사자 응용 프로그램과 연결된 규칙 그룹이 다시 실행됩니다. 규칙 및 규칙 그룹 실행 프로세스는 실행 프로세스 완료 후 새 클레임이 발급되지 않거나, ACS에서 10회의 실행을 완료하고 나면(둘 중 하나가 완료되면) 중지됩니다.

규칙 그룹 및 규칙은은 ACS 관리 포털을 사용하여 수동으로 만들고 편집할 수도 있고, ACS 관리 서비스를 사용하여 프로그래밍 방식으로 만들고 편집할 수도 있습니다.

ACS 관리 포털에서 새 신뢰 당사자 응용 프로그램의 속성을 추가 및 구성할 때, ACS 관리 포털의 신뢰 당사자 응용 프로그램 추가 페이지에서 새 규칙 그룹 만들기 옵션은 기본적으로 선택되어 있으므로 이 신뢰 당사자 응용 프로그램과 연결되는 규칙 그룹을 만들 수도 있습니다. 새 신뢰 당사자 응용 프로그램에 대해 기본 규칙 그룹이 만들어지도록 이 옵션을 선택한 상태로 유지하는 것이 좋습니다. 자세한 내용은 신뢰 당사자 응용 프로그램에서 "규칙 그룹"을 참조하십시오. ACS 관리 포털의 규칙 그룹 섹션을 사용하여 규칙 그룹을 추가할 수도 있습니다. 그런 후에 신뢰 당사자 응용 프로그램 추가 페이지를 통해 신뢰 당사자 응용 프로그램을 추가할 때 해당 응용 프로그램을 하나 이상의 기존 규칙 그룹과 연결할 수 있습니다.

규칙 그룹을 만든 후에는 ACS 관리 포털의 규칙 그룹 편집 페이지를 통해 규칙을 자동으로 생성할 수 있습니다. 규칙을 자동으로 생성하도록 지정하면 규칙을 생성할 ID 공급자를 선택하라는 메시지가 표시됩니다. 규칙 그룹이 하나 이상의 신뢰 당사자 응용 프로그램에 연결되어 있으면 해당 신뢰 당사자 응용 프로그램에서 사용하는 ID 공급자가 자동으로 선택됩니다.

note참고
WS-Federation ID 공급자의 경우에는 ID 공급자의 WS-Federation 메타데이터에서 제공되는 각 클레임 유형에 대해 규칙이 만들어지며, 이 규칙이 클레임 유형과 값을 통과시킵니다. 기타 ID 공급자의 경우에는 미리 결정된 클레임 유형 목록을 기반으로 통과 규칙이 생성됩니다.

ACS 관리 포털의 규칙 그룹 편집 페이지에는 표의 모든 규칙이 표시됩니다. 여기서 열에는 규칙의 출력 클레임, 클레임 발급자(ID 공급자 또는 ACS일 수 있음) 및 설명이 포함됩니다.

표에 제공된 규칙을 클릭하면 클레임 규칙 편집 페이지로 리디렉션되며, 여기서 규칙을 편집할 수 있습니다. 새 규칙을 수동으로 추가하려면 추가를 클릭하면 됩니다.

클레임 규칙은 ACS에서 입력 클레임을 출력 클레임으로 변환하는 방법의 논리를 설명합니다. 규칙은 규칙 그룹에 포함되어 있습니다. 규칙 그룹은 신뢰 당사자 응용 프로그램에 연결되며, ACS에서 응용 프로그램에 대해 토큰을 발급할 때마다 실행됩니다. 규칙 그룹에 규칙이 없는 경우에는 신뢰 당사자 응용 프로그램에 대해 토큰이 발급되지 않습니다. 일반적으로 신뢰 당사자 응용 프로그램에 대해 발급하려는 모든 클레임 유형에 대해 하나의 규칙이 필요합니다. 규칙을 하나만 만들어 모든 클레임 유형 및 값을 통과시키는 데 사용할 수 있습니다. 하지만 모든 클레임 유형별로 규칙을 사용하면 보안이 향상되며 응용 프로그램으로 전달되는 데이터를 보다 강력하게 제어할 수 있습니다.

ACS에서는 클레임 유형, 발급자 또는 값을 변경하지 않고 ID 공급자 또는 클라이언트로부터 받은 클레임을 신뢰 당사자 응용 프로그램으로 전달하도록 규칙을 구성할 수 있습니다. 이러한 규칙을 통과 규칙이라고 합니다. 예를 들어 Windows Live ID를 통해 발급되는 토큰은 클레임 유형 "nameidentifier"를 포함합니다. 이 클레임을 변경하지 않고 신뢰 당사자 응용 프로그램으로 전달하려면, 클레임 발급자 "Windows Live ID"로부터의 입력 클레임 유형 "nameidentifier"를 처리하고 동일한 출력 클레임(클레임 유형과 값이 변경되지 않음)을 만드는 통과 규칙을 구성해야 합니다.

아래 표에서는 가상의 AD FS 2.0 ID 공급자인 Contoso.com에서 통과시키는 클레임을 보여 줍니다.

 

입력 클레임 출력 클레임

발급자

유형

발급자

유형

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

액세스 제어 서비스

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

john@contoso.com

액세스 제어 서비스

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

john@contoso.com

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

John Doe

액세스 제어 서비스

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name

John Doe

ACS 규칙 엔진은 클레임 발급자, 입력 클레임 유형 및 값을 기반으로 하여 입력 클레임을 완전히 다른 출력 클레임으로 변환하는 기능도 제공합니다. 즉, ACS 규칙 엔진에서는 토큰에 포함된 클레임을 추가, 제거 또는 변경하여 입력 토큰을 다른 출력 토큰으로 변환할 수 있습니다. 이러한 형식의 클레임 변환을 수행하면 ACS에서 클레임 입력 값을 기반으로 기본 권한 부여를 구현할 수 있습니다. 아래 예제에서는 "nameidentifier" 입력 클레임이 특정 값과 일치하면 출력되는 클레임 유형 "role"(값: "administrator")을 보여 줍니다.

 

입력 클레임 출력 클레임

발급자

유형

발급자

유형

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

액세스 제어 서비스

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

administrator

ACS 역할 엔진에서는 두 입력 클레임의 결합을 기반으로 하여 출력 클레임을 만드는 기능도 제공합니다. 아래 예제에서 Contoso.com의 "nameidentifier" 및 "role" 입력 클레임이 모두 특정 값과 일치하는 경우 출력 클레임 유형은 "action"이고 값은 "write"입니다. 두 입력 클레임이 규칙에 지정되어 있으면 두 값이 모두 일치해야 출력 클레임이 생성됩니다.

 

입력 클레임 출력 클레임

발급자

유형

발급자

유형

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

123456789

액세스 제어 서비스

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/action

write

Contoso.com

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/role

administrator

규칙을 사용하여 토큰 변환을 구현하는 방법에 대한 자세한 내용과 해당 단계는 방법: 규칙을 사용하여 토큰 변환 논리 구현을 참조하십시오.

ACS 관리 포털을 사용하여 새 클레임 규칙을 추가하거나 기존 클레임 규칙을 편집할 때는 다음 설정을 구성해야 합니다.

이 섹션에는 규칙이 출력 클레임을 발급하려면 true여야 하는 조건이 포함되어 있습니다. 이러한 조건은 다음과 같습니다.

  • 클레임 발급자 - 입력 클레임을 발급한 엔터티를 나타냅니다. 구성된 ID 공급자(예: ) 또는 ACS일 수 있습니다. 입력 클레임이 서비스 ID 또는 다른 클레임 규칙에서 들어오는 경우에는 ACS가 발급자입니다. 자세한 내용은 서비스 ID를 참조하십시오.

  • 입력 클레임 유형 - 클레임 발급자로부터 받은 입력 클레임 유형을 나타냅니다. 예를 들어 "nameidentifier"의 전체 클레임 유형은 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier입니다. 이 필드의 옵션은 다음과 같습니다.

    • Any(임의) - 클레임 유형을 발급자로부터 받는 경우 true를 반환합니다.

    • 선택 형식 - 입력 클레임 유형이 드롭다운 메뉴에서 선택한 유형과 일치하는 경우 true를 반환합니다. 이 메뉴는 선택한 클레임 발급자에 대해 사용 가능한 클레임 유형으로 채워집니다.

    • Enter type(입력 형식) - 입력 클레임 유형이 필드에 입력한 값과 정확히 일치하는 경우 true를 반환합니다.

      Important중요
      이 필드는 대/소문자를 구분합니다.

  • 입력 클레임 값 - 받은 입력 클레임의 값을 나타냅니다. 예를 들어 "nameidentifier" 클레임 유형은 전자 메일 주소를 값으로 사용하며, 이 필드를 사용하여 특정 전자 메일 주소를 확인할 수 있습니다. 이 필드의 옵션은 다음과 같습니다.

    • Any(임의) - 클레임 값을 발급자로부터 받는 경우 true를 반환합니다.

    • 값 입력 - 입력 클레임 유형이 필드에 입력한 값과 정확히 일치하는 경우 true를 반환합니다. 이 옵션을 선택하는 경우 입력 클레임 유형 필드에서 특정 입력 클레임 유형을 선택하거나 입력해야 합니다.

      Important중요
      이 필드는 대/소문자를 구분합니다.

두 번째 클레임을 규칙에 추가하려면 두 번째 입력 클레임 추가를 클릭합니다. 이렇게 하면 아래에 나와 있는 추가 조건을 지정할 수 있습니다. 입력 클레임이 두 개인 규칙에서는 모든 조건이 true여야 출력 클레임이 생성됩니다.

  • 클레임 발급자 - 두 번째 입력 클레임을 발급한 엔터티를 나타냅니다. 첫 번째 클레임에 대해 선택한 것과 같은 ID 공급자일 수도 있고 ACS일 수도 있습니다. 규칙 처리 중에 다른 클레임 규칙에서 생성된 클레임을 지정하려면 ACS을 선택합니다.

    Important중요
    첫 번째 클레임과 두 번째 클레임에 대해 서로 다른 두 ID 공급자를 선택할 수는 없습니다. 규칙은 한 번에 한 ID 공급자에서 발급된 토큰 하나만 처리하기 때문입니다.

  • 입력 클레임 유형 - 클레임 발급자로부터 받은 입력 클레임 유형을 나타냅니다. 예를 들어 "nameidentifier"의 전체 클레임 유형은 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier입니다. 이 필드의 옵션은 다음과 같습니다.

    • 유형 선택 - 입력 클레임 유형이 드롭다운 메뉴에서 선택한 유형과 일치하는 경우 true를 반환합니다. 이 메뉴는 선택한 클레임 발급자에 대해 사용 가능한 클레임 유형으로 채워집니다.

    • 유형 입력 - 입력 클레임 유형이 필드에 입력한 값과 정확히 일치하는 경우 true를 반환합니다.

      Important중요
      이 필드는 대/소문자를 구분합니다.

  • 입력 클레임 값 - 받은 입력 클레임의 값을 나타냅니다. 예를 들어 "nameidentifier" 클레임 유형은 전자 메일 주소를 값으로 사용하며, 이 필드를 사용하여 특정 전자 메일 주소를 확인할 수 있습니다. 입력 클레임 유형이 필드에 입력한 값과 정확히 일치하는 경우 true를 반환합니다.

    Important중요
    이 필드는 대/소문자를 구분합니다.

이 섹션에는 규칙의 If(다음의 경우) 섹션에 있는 조건이 true인 경우 ACS에서 발급하는 출력 클레임이 지정되어 있습니다. 출력 클레임 옵션은 다음과 같습니다.

  • 출력 클레임 유형 - ACS에서 발급하는 클레임 유형입니다. 이 필드의 옵션은 다음과 같습니다.

    • 통과 입력 클레임 유형 - 입력 클레임과 유형이 같은 출력 클레임을 발급합니다.

    • 선택 형식 - 지정한 형식의 출력 클레임을 발급합니다. 드롭다운 메뉴에는 일반 클레임 유형 목록이 포함되어 있습니다.

    • 입력 형식 - 입력한 유형의 클레임을 발급합니다. 출력 클레임을 SAML 토큰에 포함하려는 경우 이 값은 URI(예: http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier)여야 합니다.

      Important중요
      이 필드는 대/소문자를 구분합니다.

  • 출력 클레임 값 - ACS에서 발급한 출력 클레임의 값을 나타냅니다. 이 필드의 옵션은 다음과 같습니다.

    • 통과 입력 클레임 값 - 값이 입력 클레임의 값과 같은 출력 클레임을 발급합니다.

    • 값 입력 - 이 필드에 입력한 값을 포함하는 클레임을 발급합니다. 이 옵션을 선택하는 경우 출력 클레임 유형 필드에서 특정 입력 클레임 유형을 선택하거나 입력해야 합니다.

      Important중요
      이 필드는 대/소문자를 구분합니다.

이 섹션에서 규칙의 설명을 작성할 수 있습니다.

note참고
ACS에서는 생성된 규칙에 대해 규칙 설명이 자동으로 작성되지 않습니다.

참고 항목

커뮤니티 추가 항목

추가
Microsoft는 MSDN 웹 사이트에 대한 귀하의 의견을 이해하기 위해 온라인 설문 조사를 진행하고 있습니다. 참여하도록 선택하시면 MSDN 웹 사이트에서 나가실 때 온라인 설문 조사가 표시됩니다.

참여하시겠습니까?
표시:
© 2014 Microsoft