내보내기(0) 인쇄
모두 확장

WS-Federation ID 공급자

게시: 2011년 4월

업데이트 날짜: 2011년 5월

적용 대상: Windows Azure

WS-Federation ID 공급자는 WS-Federation 프로토콜을 지원하는 사용자 지정 ID 공급자로, WS-Federation 메타데이터를 사용하여 Windows Azure AppFabric 액세스 제어 서비스(ACS)에서 구성됩니다. WS-Federation ID 공급자는 WS-Trust 등의 다른 페더레이션 프로토콜도 지원할 수 있으며, 웹 사이트 및 웹 응용 프로그램 시나리오에서 가장 빈번하게 사용됩니다. 이러한 시나리오에서는 WS-Federation 수동 요청자 프로필을 사용하여 웹 브라우저를 통해 ACS로부터의/ACS로의 필요한 토큰 리디렉션을 쉽게 수행할 수 있습니다.

Microsoft Active Directory Federation Services 2.0

WS-Federation ID 공급자의 일반적인 예는 AD FS(Active Directory Federation Services) 2.0입니다. AD FS를 사용하여 엔터프라이즈 Active Directory 계정을 ACS와 통합할 수 있습니다. ACS에서 AD FS 2.0을 ID 공급자로 추가하고 구성하려면, AD FS 2.0이 설치되어 있어야 하며 AD DS(Active Directory 도메인 서비스)와 같은 하나 이상의 클레임 공급자 트러스트를 사용해야 합니다. 자세한 내용은 방법: AD FS 2.0을 ID 공급자로 구성을 참조하십시오.

ACS 관리 포털을 사용하여 구성

ACS 관리 포털을 사용하여 WS-Federation ID 공급자를 구성할 때는 다음을 지정해야 합니다.

  • 표시 이름 - ID 공급자의 표시 이름을 지정합니다. 이 이름은 ACS 관리 포털에서만 사용됩니다.

  • WS-Federation 메타데이터 - 토큰, 권한 부여 등의 설정된 페더레이션 서비스에 대한 구성 정보(페더레이션 메타데이터) 및 정보 액세스용 정책을 포함합니다. ACS에서 WS-Federtion ID 공급자를 추가할 때는 WS-Federtion ID 공급자의 메타데이터 문서 로컬 복사본을 업로드하거나 URL을 입력해야 합니다.

    Caution주의
    신뢰할 수 있는 WS-Federation ID 공급자에서만 WS-Federation 메타데이터를 가져오십시오.

    보안상의 이유로 WS-Federation ID 공급자를 추가하려는 경우에는 해당 WS-Federation ID 공급자가 이 문서를 ACS에서 가져올 수 있도록 HTTPS URL에 게시하는 것이 좋습니다. 또한 WS-Federation ID 공급자에서는 HTTPS 토큰 발급 끝점만 사용하는 것이 좋습니다.

  • 로그인 링크 텍스트 - 웹 응용 프로그램의 로그인 페이지에 해당 ID 공급자에 대해 표시되는 텍스트를 지정합니다. 자세한 내용은 로그인 페이지 및 홈 영역 검색를 참조하십시오.

  • 이미지 URL(선택 사항) - 해당 ID 공급자의 로그인 링크로 표시할 수 있는 이미지 파일(예: 선택한 로고)에 URL을 연결합니다. 이 로고는 ACS 인식 웹 응용 프로그램의 기본 로그인 페이지와, 사용자 지정 로그인 페이지를 렌더링하는 데 사용할 수 있는 웹 응용 프로그램의 JSON 피드에 자동으로 표시됩니다. 이미지 URL을 지정하지 않으면 해당 ID 공급자의 텍스트 로그인 링크가 웹 응용 프로그램의 로그인 페이지에 표시됩니다. 이미지 URL을 지정하는 경우에는 해당 URL이 자신의 웹 사이트나 응용 프로그램과 같이 신뢰할 수 있는 원본을 가리키도록 해야 하며 브라우저 보안 경고가 표시되지 않도록 HTTPS를 사용하는 것이 좋습니다. 또한, 너비가 240픽셀보다 크고 높이가 40픽셀보다 큰 이미지는 기본 ACS 홈 영역 검색 페이지에서 크기가 자동으로 조정됩니다. AD FS 2.0 파트너로부터 이 이미지 표시 권한을 얻는 것이 좋습니다.

  • 전자 메일 도메인 이름(선택 사항) - 전자 메일 주소를 사용하여 로그인하라는 메시지를 사용자에게 표시하려면 이 ID 공급자에서 호스팅하는 전자 메일 도메인 접미사를 지정할 수 있습니다. 그렇지 않은 경우, 직접 로그인 링크를 표시하려면 이 필드를 비워 둡니다. 세미콜론을 사용하여 접미사 목록을 구분합니다. 자세한 내용은 로그인 페이지 및 홈 영역 검색를 참조하십시오.

  • 신뢰 당사자 응용 프로그램 - 해당 ID 공급자와 연결할 기존 신뢰 당사자 응용 프로그램을 모두 선택합니다. 자세한 내용은 신뢰 당사자 응용 프로그램을 참조하십시오.

ID 공급자를 신뢰 당사자 응용 프로그램에 연결한 후에는 신뢰 당사자 응용 프로그램의 규칙 그룹에서 해당 ID 공급자에 대한 규칙을 생성하거나 수동으로 추가하여 구성을 완료해야 합니다. 규칙 만들기에 대한 자세한 내용은 규칙 그룹 및 규칙을 참조하십시오.

지원되는 클레임 유형

ID 공급자에 인증한 사용자는 ID 클레임이 채워진 토큰을 받습니다. 클레임은 전자 메일 주소, 고유 ID 등과 같은 사용자에 대한 정보입니다. ACS는 신뢰 당사자 응용 프로그램을 통해 이러한 클레임을 직접 전달하거나, 클레임에 포함된 값을 기반으로 권한 부여 관련 결정을 내릴 수 있습니다.

기본적으로 ACS의 클레임 유형은 SAML 토큰 사양을 준수하는 URI를 사용하여 고유하게 식별됩니다. 이러한 URI는 다른 토큰 형식의 클레임을 식별하는 데도 사용됩니다.

WS-Federation ID 공급자의 경우에는 ACS로 가져오는 ID 공급자의 WS-Federation 메타데이터를 통해 사용 가능한 클레임 유형이 결정됩니다. 가져오기가 완료되면 ID 공급자에서 사용 가능한 클레임 유형이 ACS 관리 포털의 클레임 규칙 편집 페이지에 표시됩니다. 이러한 클레임 유형은 ACS 관리 서비스의 ClaimType 엔터티를 통해서도 볼 수 있습니다.

WS-Federation 메타데이터를 통해 사용 가능한 클레임 유형 외에, ACS는 각 WS-Federation ID 공급자에 대해 항상 다음 클레임을 발급합니다.

 

클레임 유형 URI 설명

이름 식별자

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier

ID 공급자에서 제공하는 사용자 계정의 고유 식별자입니다.

ID 공급자

http://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider

ACS에서 제공하는 클레임으로, 선택한 ID 공급자를 통해 사용자가 인증되었음을 신뢰 당사자 응용 프로그램에 알려 줍니다. 이 클레임의 값은 ACS 관리 포털에서 ID 공급자 편집 페이지의 영역 필드를 통해 확인할 수 있습니다.

note참고
WS-Federation ID 공급자는 ID 공급자의 WS-Federation 메타데이터 문서에 명시적으로 나와 있지 않은 클레임 유형을 ACS에 발급할 수도 있습니다. 이 경우 필요한 클레임 유형 URI를 선택하는 대신 규칙에 수동으로 입력할 수 있습니다. 규칙에 대한 자세한 내용은 규칙 그룹 및 규칙을 참조하십시오.

참고 항목

개념

ID 공급자

표시:
© 2014 Microsoft