이 설명서는 보관되지만 유지 되지 않습니다.

방법: X.509 인증서를 사용하여 ACS 및 ASP.NET 웹 응용 프로그램 간에 트러스트 구성

게시: 2011년 4월

업데이트 날짜: 2015년 6월

적용 대상: Azure

  • Microsoft Azure Active Directory 액세스 제어(액세스 제어 서비스 또는 ACS라고도 함)

  • ASP.NET

이 항목에서는 응용 프로그램과 ACS 간에 트러스트를 구성하는 방법을 설명합니다. 트러스트는 ASP.NET 응용 프로그램과 ACS 간에 교환하는 토큰에 서명하여 설정합니다.

  • 목표

  • 개요

  • 단계 요약

  • 1단계 - 토큰 서명 인증서 섹션으로 이동

  • 2단계 - X.509 인증서를 사용하여 트러스트 구성

  • 3단계 - web.config 및 ACS 관리 포털에서 트러스트 관련 특성 검토

  • ACS 관리 포털의 트러스트 관리 섹션을 파악합니다.

  • X.509 인증서를 사용하여 트러스트를 관리합니다.

  • web.config 및 관리 포털에서 필수 구성을 확인합니다.

응용 프로그램과 ACS 간에 토큰을 올바르게 교환하려면 트러스트를 설정해야 합니다. 트러스트를 설정하면 토큰이 전송 중에 변조되지 않으며 신뢰할 수 있는 당사자를 통해 발급됩니다. ASP.NET 웹 응용 프로그램의 경우 트러스트는 X.509 인증서를 통해 관리되며 ACS 관리 포털의 구성 및 web.config 구성을 기반으로 합니다.

ASP.NET 웹 응용 프로그램과 ACS 간에 트러스트를 설정하고 관리하려면 다음 단계를 수행합니다.

  • 1단계 - 토큰 서명 인증서 섹션으로 이동

  • 2단계 - X.509 인증서를 사용하여 트러스트 구성

  • 3단계 - web.config 및 ACS 관리 포털에서 트러스트 관련 특성 검토

이 단계에서는 ACS 관리 포털의 트러스트 관리 섹션으로 이동하는 방법을 보여 줍니다.

  1. Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)

  2. 액세스 제어 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 액세스 제어 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.

  3. ACS 포털에서 신뢰 당사자 응용 프로그램을 클릭합니다.

  4. 신뢰 당사자 응용 프로그램을 클릭합니다.

  5. 신뢰 당사자 응용 프로그램 편집 페이지에서 아래쪽의 토큰 서명 인증서 섹션으로 스크롤합니다.

  6. 인증서를 선택합니다.

이 단계에서 X.509 인증서를 사용하여 ASP.NET 웹 응용 프로그램과 ACS 간에 트러스트를 구성하고 관리하는 방법을 보여 줍니다. 신뢰 당사자 응용 프로그램에서 WIF(Windows® Identity Foundation)를 사용하는 경우 X.509 인증서 서명 자격 증명을 사용합니다.

  1. Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)

  2. 액세스 제어 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 액세스 제어 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.

  3. 인증서 및 키를 클릭하고 X.509 인증서를 선택합니다.

  4. 토큰 서명 인증서 또는 키 편집 페이지에서 다음 값을 제공합니다.

    • 이름: 선택한 임의의 이름입니다.

    • 유형: X.509 인증서입니다.

    • 인증서: ACS에서 기본적으로 만든 인증서를 사용하려면 아무 작업도 수행할 필요가 없습니다. 사용자 고유의 X.509 인증서를 업로드할 수도 있습니다.

      인증서는 암호로 보호되어 있어야 하며, 일반적으로 확장명이 .pfx입니다. X.509 인증서를 직접 업로드할 때는 암호 텍스트 상자에 pfx 파일 암호를 입력합니다.

    • Password: 기본 인증서를 사용하려면 아무 작업도 수행할 필요가 없습니다. 인증서를 업로드할 경우 해당 인증서는 암호로 보호되어 있어야 하며, 암호 텍스트 상자에 .pfx 파일 암호를 입력합니다.

  5. 저장을 클릭합니다.

여러 가지 방법으로 토큰 서명 또는 암호화용 X.509 인증서를 얻을 수 있습니다. 사용하는 방법은 조직에서 사용 가능한 도구 및 요구 사항에 따라 달라집니다.

로컬 인증 기관

조직에서 AD CS(Active Directory 인증서 서비스)와 같은 CA(인증 기관)를 배포한 경우에는 X.509 인증서를 요청할 수 있습니다. 지침이나 사용 권한은 인증 기관 관리자에게 문의해야 할 수 있습니다. Active Directory 인증서 서비스에 대한 자세한 내용은 Active Directory 인증서 서비스(http://go.microsoft.com/fwlink/?linkid=208371)를 참조하세요.

상업용 인증 기관

Verisign과 같은 상업용 인증 기관에서 X.509 인증서를 구입할 수 있습니다. 이 문서는 Labs 릴리스이므로 로컬 인증 기관(사용 가능한 경우)을 사용하거나 자체 서명된 인증서를 생성하는 것이 좋습니다(아래 참조).

자체 서명된 인증서 생성

소프트웨어를 사용하여 ACS에서 사용할 자체 서명된 인증서를 직접 생성할 수 있습니다. 이 방법은 일반적으로 테스트용으로만 사용하는 것이 좋지만, 로컬 CA에 액세스할 수 없거나 상업용 CA를 구입하지 않으려는 경우에도 누구나 사용할 수 있습니다. Windows를 실행하는 경우에는 Windows SDK(http://go.microsoft.com/fwlink/?linkid=84091)의 일부분으로 MakeCert.exe를 다운로드한 다음 인증서를 생성하는 데 사용할 수 있습니다.

자체 서명된 인증서 내보내기

자체 서명된 인증서를 내보내는 방법에 대한 지침은 인증서 및 키를 참조하세요.

이 단계에서는 ASP.NET 웹 응용 프로그램의 web.config에서 트러스트 관련 구성 특성의 유효성을 검사하는 방법을 보여 줍니다.

  1. ASP.NET 웹 응용 프로그램의 web.config 파일을 엽니다.

  2. audiencesUris 노드로 이동한 다음 해당 자식 노드인 add의 값이 ACS 관리 포털의 신뢰 당사자 편집 페이지에 있는 Realm 속성 필드에 입력한 값과 같은지 확인합니다.

    1. Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)

    2. 액세스 제어 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 액세스 제어 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.

    3. 신뢰 당사자 응용 프로그램을 클릭합니다.

    4. 신뢰 당사자 응용 프로그램 페이지에서 원하는 응용 프로그램을 클릭합니다.

    5. 신뢰 당사자 응용 프로그램 편집 페이지에서 Realm 특성을 검토합니다.

참고 항목

개념

ACS 방법

표시: