방법: AD FS 2.0을 ID 공급자로 구성

  • 아티클

업데이트: 2015년 6월 19일

Azure에 적용합니다.

적용 대상

  • Microsoft Azure Active Directory 액세스 제어(액세스 제어 서비스 또는 ACS라고도 함)

  • Active Directory® Federation Services 2.0

요약

이 방법에서는 ID 공급자로 구성하는 방법을 설명합니다. ASP.NET 웹 애플리케이션에 대한 ID 공급자로 구성하면 사용자가 Active Directory에서 관리하는 회사 계정에 로그온하여 ASP.NET 웹 애플리케이션에 인증할 수 있습니다.

콘텐츠

  • 목표

  • 개요

  • 단계 요약

  • 1단계 - ACS 관리 포털에서 AD FS 2.0을 ID 공급자로 추가

  • 2단계 - ACS 관리 포털에서 AD FS 2.0으로부터 받은 토큰의 암호 해독을 위해 ACS에 인증서 추가(선택 사항)

  • 3단계 - AD FS 2.0에서 신뢰 당사자로 Access Control 네임스페이스 추가

  • 4단계 - AD FS 2.0에서 Access Control 네임스페이스에 대한 클레임 규칙 추가

목표

  • ACS와 .

  • 토큰 보안 및 메타 데이터 교환 성능 개선

개요

ID 공급자로 구성하면 인증을 위해 회사 Active Directory에서 관리하는 기존 계정을 다시 사용할 수 있습니다. 이렇게 하면 복잡한 계정 동기화 메커니즘을 구축하거나, 최종 사용자 자격 증명을 수락하고 자격 증명 저장소에 대해 그 유효성을 검사하며 ID를 관리하는 작업을 수행하는 사용자 지정 코드를 개발할 필요가 없습니다. ACS를 통합하고 구성에 의해서만 수행됩니다. 사용자 지정 코드는 필요하지 않습니다.

단계 요약

  • 1단계 - ACS 관리 포털에서 AD FS 2.0을 ID 공급자로 추가

  • 2단계 - ACS 관리 포털에서 AD FS 2.0으로부터 받은 토큰의 암호 해독을 위해 ACS에 인증서 추가(선택 사항)

  • 3단계 - AD FS 2.0에서 신뢰 당사자로 Access Control 네임스페이스 추가

  • 4단계 - AD FS 2.0에서 Access Control 네임스페이스에 대한 클레임 규칙 추가

1단계 - ACS 관리 포털에서 AD FS 2.0을 ID 공급자로 추가

이 단계는 ACS 관리 포털에서 ID 공급자로 추가됩니다.

AD FS 2.0을 Access Control 네임스페이스에서 ID 공급자로 추가하려면

  1. ACS 관리 포털 기본 페이지에서 ID 공급자를 클릭합니다.

  2. ID 공급자 추가를 클릭합니다.

  3. Microsoft Active Directory Federation Services 2.0 옆에 있는 추가를 클릭합니다.

  4. 표시 이름 필드에 이 ID 공급자의 표시 이름을 입력합니다. 기본적으로 응용 프로그램의 로그인 페이지와 ACS 관리 포털에 모두 이 이름이 표시됩니다.

  5. WS-Federation 메타데이터 필드에 인스턴스의 메타데이터 문서에 대한 URL을 입력하거나 파일 옵션을 사용하여 메타데이터 문서의 로컬 복사본을 업로드합니다. URL을 사용하는 경우 메타데이터 문서의 URL 경로는 관리 콘솔의 Service\Endpoints 섹션에서 찾을 수 있습니다. 다음 두 단계는 신뢰 당사자 응용 프로그램의 로그인 페이지 옵션과 관련되어 있습니다. 이 두 단계는 선택 사항이므로 생략해도 됩니다.

  6. 응용 프로그램의 로그인 페이지에서 이 ID 공급자에 대해 표시되는 텍스트를 편집하려면 로그인 링크 텍스트 필드에 원하는 텍스트를 입력합니다.

  7. 응용 프로그램의 로그인 페이지에 이 ID 공급자에 대한 이미지를 표시하려면 이미지 파일의 URL을 이미지 URL 필드에 입력합니다. 이 이미지 파일은 브라우저 보안 경고를 방지하기 위해 가능한 경우 HTTPS를 사용하여 신뢰할 수 있는 사이트에서 호스트되어야 하며 이 이미지를 표시할 수 있는 파트너의 권한이 있어야 합니다. 로그인 페이지 설정에 대한 추가 지침은 로그인 페이지 및 홈 영역 검색 에 대한 도움말을 참조하세요.

  8. 링크를 클릭하는 대신 전자 메일 주소를 사용하여 로그온하라는 메시지를 표시하려면 전자 메일 도메인 이름 필드에 이 ID 공급자와 연결할 전자 메일 도메인 접미사를 입력합니다. 예를 들어 ID 공급자가 전자 메일 주소가 끝나는 @contoso.com사용자 계정을 호스트하는 경우 contoso.com 입력합니다. 세미콜론을 사용하여 접미사 목록(예: contoso.com; fabrikam.com)을 구분합니다. 로그인 페이지 설정에 대한 추가 지침은 로그인 페이지 및 홈 영역 검색 에 대한 도움말을 참조하세요.

  9. 신뢰 당사자 응용 프로그램 필드에서 이 ID 공급자와 연결할 기존의 신뢰 당사자 응용 프로그램을 선택합니다. 이렇게 하면 ID 공급자가 해당 응용 프로그램의 로그인 페이지에 표시되며, ID 공급자에서 응용 프로그램으로 클레임이 배달될 수 있습니다. 배달할 클레임을 정의하는 응용 프로그램의 규칙 그룹에 규칙을 계속 추가해야 합니다.

  10. 저장을 클릭합니다.

2단계 - ACS 관리 포털에서 AD FS 2.0으로부터 받은 토큰의 암호 해독을 위해 ACS에 인증서 추가(선택 사항)

이 단계에서는 에서 받은 토큰의 암호를 해독하기 위한 인증서를 추가, 구성합니다. 이 단계는 보안 성능을 강화하는 데 도움이 되는 선택 사항입니다. 특히 토큰 콘텐츠를 보고 변조하지 못하도록 하는 데 도움이 됩니다.

AD FS 2.0에서 받은 토큰의 암호를 해독하기 위해 Access Control 네임스페이스에 인증서를 추가하려면(선택 사항)

  2. Windows Live ID(Microsoft 계정)를 사용하여 인증되지 않은 경우 인증해야 합니다.

  3. Windows Live ID(Microsoft 계정)로 인증되면 Microsoft Azure 포털의 내 프로젝트 페이지로 리디렉션됩니다.

  4. 내 프로젝트 페이지에서 원하는 프로젝트 이름을 클릭합니다.

  5. Project:<<프로젝트 이름>> 페이지에서 원하는 네임스페이스 옆에 있는 Access Control 링크를 클릭합니다.

  6. Access Control 설정: <<네임스페이스>> 페이지에서 Access Control 관리 링크를 클릭합니다.

  7. ACS 관리 포털 기본 페이지에서 인증서 및 키를 클릭합니다.

  8. 토큰 암호 해독 인증서 추가를 클릭합니다.

  9. 이름 필드에 인증서의 표시 이름을 입력합니다.

  10. 인증서 필드에서 이 Access Control 네임스페이스에 대한 프라이빗 키(.pfx 파일)가 있는 X.509 인증서를 찾은 다음 암호 필드에 .pfx 파일의 암호를 입력합니다. 인증서가 없는 경우 화면의 지침에 따라 인증서를 생성하거나 인증서 및 키 에 대한 도움말을 참조하여 인증서를 가져오는 방법에 대한 추가 지침을 확인하세요.

  11. 저장을 클릭합니다.

3단계 - AD FS 2.0에서 신뢰 당사자로 Access Control 네임스페이스 추가

이 단계는 ACS를 신뢰 당사자로 구성하는 데 도움이 됩니다.

AD FS 2.0에서 Access Control 네임스페이스를 신뢰 당사자로 추가하려면

  1. 관리 콘솔에서 AD FS 2.0을 클릭한 다음 작업 창에서 신뢰 당사자 트러스트 추가를 클릭하여 신뢰 당사자 트러스트 추가 마법사를 시작합니다.

  2. 시작 페이지에서 시작을 클릭합니다.

  3. 데이터 원본 선택 페이지에서 온라인 또는 로컬 네트워크에 게시된 신뢰 당사자에 대한 데이터 가져오기를 클릭하고 Access Control 네임스페이스의 이름을 입력한 다음 다음을 클릭합니다.

  4. 표시 이름 지정 페이지에서 표시 이름을 입력한 후 다음을 클릭합니다.

  5. 발급 권한 부여 규칙 선택 페이지에서 모든 사용자가 이 신뢰 당사자에 액세스하도록 허용을 클릭한 후 다음을 클릭합니다.

  6. 트러스트 추가 준비 페이지에서 신뢰 당사자 트러스트 설정을 검토한 후 다음을 클릭하여 구성을 저장합니다.

  7. 마침 페이지에서 닫기를 클릭하여 마법사를 종료합니다. 이렇게 하면 WIF 샘플 앱에 대한 클레임 규칙 편집 속성 페이지도 열립니다. 이 대화 상자를 열어 놓은 후 다음 절차로 이동합니다.

4단계 - AD FS 2.0에서 Access Control 네임스페이스에 대한 클레임 규칙 추가

이 단계에서는 에 대한 클레임 규칙을 구성합니다. 이렇게 하면 원하는 클레임이 ACS로 전달됩니다.

AD FS 2.0에서 Access Control 네임스페이스에 대한 클레임 규칙을 추가하려면

  1. 클레임 규칙 편집 속성 페이지의 발급 변환 규칙 탭에서 규칙 추가를 클릭하여 변환 클레임 규칙 추가 마법사를 시작합니다.

  2. 규칙 템플릿 선택 페이지의 클레임 규칙 템플릿에서 들어오는 클레임 통과 또는 필터링을 클릭한 후 다음을 클릭합니다.

  3. 규칙 구성 페이지의 클레임 규칙 이름에서 규칙 표시 이름을 입력합니다.

  4. 들어오는 클레임 유형 드롭다운 목록에서 응용 프로그램으로 통과시킬 ID 클레임 유형을 선택한 후 마침을 클릭합니다.

  5. 확인을 클릭하여 속성 페이지를 닫고 신뢰 당사자 트러스트에 대한 변경 내용을 저장합니다.

  6. Access Control 네임스페이스로 발급하려는 각 클레임에 대해 1-5단계를 반복합니다.

  7. 확인을 클릭합니다.