내보내기(0) 인쇄
모두 확장
확장 최소화

방법: AD FS 2.0을 ID 공급자로 구성

게시: 2011년 4월

업데이트 날짜: 2015년 3월

적용 대상: Azure

  • Microsoft Azure Active Directory 액세스 제어(액세스 제어 서비스 또는 ACS라고도 함)

  • Active Directory® Federation Services 2.0

이 방법 문서에서는 를 ID 공급자로 구성하는 방법을 설명합니다. ASP.NET 웹 응용 프로그램에서 을 ID 공급자로 구성하면 사용자들이 Active Directory에서 관리되는 회사 계정에 로그온하여 ASP.NET 웹 응용 프로그램에 대해 인증할 수 있습니다.

  • 목표

  • 개요

  • 단계 요약

  • 1단계 - ACS 관리 포털에서 AD FS 2.0을 ID 공급자로 추가

  • 2단계 - ACS 관리 포털에서 AD FS 2.0으로부터 받은 토큰의 암호 해독을 위해 ACS에 인증서 추가(선택 사항)

  • 3단계- AD FS 2.0에서 액세스 제어 네임스페이스를 신뢰 당사자로 추가

  • 4단계 - AD FS 2.0에서 액세스 제어 네임스페이스에 대한 클레임 규칙 추가

  • ACS와 간의 트러스터 구성

  • 토큰 보안 및 메타 데이터 교환 성능 개선

을 ID 공급자로 구성하면 회사 Active Directory에서 관리하는 기존 계정을 인증에 다시 사용할 수 있습니다. 이렇게 하면 복잡한 계정 동기화 메커니즘을 구축하거나, 최종 사용자 자격 증명을 수락하고 자격 증명 저장소에 대해 그 유효성을 검사하며 ID를 관리하는 작업을 수행하는 사용자 지정 코드를 개발할 필요가 없습니다. ACS와 은 구성 작업만으로 통합할 수 있으며, 사용자 지정 코드는 필요하지 않습니다.

  • 1단계 - ACS 관리 포털에서 AD FS 2.0을 ID 공급자로 추가

  • 2단계 - ACS 관리 포털에서 AD FS 2.0으로부터 받은 토큰의 암호 해독을 위해 ACS에 인증서 추가(선택 사항)

  • 3단계- AD FS 2.0에서 액세스 제어 네임스페이스를 신뢰 당사자로 추가

  • 4단계 - AD FS 2.0에서 액세스 제어 네임스페이스에 대한 클레임 규칙 추가

이 단계에서는 ACS 관리 포털에서 을 ID 공급자로 추가합니다.

  1. ACS 관리 포털 기본 페이지에서 ID 공급자를 클릭합니다.

  2. ID 공급자 추가를 클릭합니다.

  3. Microsoft Active Directory Federation Services 2.0 옆에 있는 추가를 클릭합니다.

  4. 표시 이름 필드에 이 ID 공급자의 표시 이름을 입력합니다. 기본적으로 응용 프로그램의 로그인 페이지와 ACS 관리 포털에 모두 이 이름이 표시됩니다.

  5. WS-Federation 메타데이터 필드에서 인스턴스에 대한 메타데이터 문서의 URL을 입력하거나, 파일 옵션을 사용하여 메타데이터 문서의 로컬 복사본을 업로드합니다. URL을 사용할 경우 메타데이터 문서의 URL 경로를 관리 콘솔의 서비스\끝점 섹션에서 찾을 수 있습니다. 다음 두 단계는 신뢰 당사자 응용 프로그램의 로그인 페이지 옵션과 관련되어 있습니다. 이 두 단계는 선택 사항이므로 생략해도 됩니다.

  6. 응용 프로그램의 로그인 페이지에서 이 ID 공급자에 대해 표시되는 텍스트를 편집하려면 로그인 링크 텍스트 필드에 원하는 텍스트를 입력합니다.

  7. 응용 프로그램의 로그인 페이지에 이 ID 공급자에 대한 이미지를 표시하려면 이미지 파일의 URL을 이미지 URL 필드에 입력합니다. 이상적으로 이 이미지 파일은 신뢰할 수 있는 사이트에 호스트(브라우저 보안 경고가 표시되지 않도록 가능한 경우 HTTPS 사용)해야 하고, 이 이미지를 표시하려면 파트너로부터 받은 권한이 있어야 합니다. 로그인 페이지 설정에 대한 추가 지침을 보려면 로그인 페이지 및 홈 영역 검색의 도움말을 참조하세요.

  8. 링크를 클릭하는 대신 전자 메일 주소를 사용하여 로그온하라는 메시지를 표시하려면 전자 메일 도메인 이름 필드에 이 ID 공급자와 연결할 전자 메일 도메인 접미사를 입력합니다. 예를 들어 ID 공급자를 통해 전자 메일 주소가 @contoso.com으로 끝나는 사용자 계정을 호스트하는 경우 contoso.com을 입력합니다. 접미사를 여러 개 입력하는 경우 세미콜론으로 구분합니다(예: contoso.com, fabrikam.com). 로그인 페이지 설정에 대한 추가 지침을 보려면 로그인 페이지 및 홈 영역 검색의 도움말을 참조하세요.

  9. 신뢰 당사자 응용 프로그램 필드에서 이 ID 공급자와 연결할 기존의 신뢰 당사자 응용 프로그램을 선택합니다. 이렇게 하면 ID 공급자가 해당 응용 프로그램의 로그인 페이지에 표시되며, ID 공급자에서 응용 프로그램으로 클레임이 배달될 수 있습니다. 배달할 클레임을 정의하는 응용 프로그램의 규칙 그룹에 규칙을 계속 추가해야 합니다.

  10. 저장을 클릭합니다.

이 단계에서는 에서 받은 토큰의 암호를 해독하기 위한 인증서를 추가, 구성합니다. 이 단계는 보안 성능을 강화하는 데 도움이 되는 선택 사항입니다. 특히 토큰 콘텐츠를 보고 변조하지 못하도록 하는 데 도움이 됩니다.

  1. Windows Live ID(Microsoft 계정)를 사용하여 인증하지 않은 경우 해당 ID로 인증해야 합니다.

  2. Windows Live ID(Microsoft 계정)로 인증하면 Microsoft Azure 포털의 내 프로젝트 페이지로 리디렉션됩니다.

  3. 내 프로젝트 페이지에서 원하는 프로젝트 이름을 클릭합니다.

  4. 프로젝트:<<프로젝트 이름>> 페이지에서 원하는 네임스페이스 옆에 있는 액세스 제어 링크를 클릭합니다.

  5. 액세스 제어 설정: <<네임스페이스>> 페이지에서 액세스 제어 관리 링크를 클릭합니다.

  6. ACS 관리 포털 기본 페이지에서 인증서 및 키를 클릭합니다.

  7. 토큰 암호 해독 인증서 추가를 클릭합니다.

  8. 이름 필드에 인증서의 표시 이름을 입력합니다.

  9. 인증서 필드에서 이 액세스 제어 네임스페이스용 개인 키가 있는 X.509 인증서(.pfx 파일)를 찾아 암호 필드에 .pfx 파일 암호를 입력합니다. 인증서가 없으면 화면의 지시에 따라 하나 생성하거나, 인증서 및 키 도움말을 참조하여 인증서를 가져오는 방법에 대한 추가 지침을 알아보세요.

  10. 저장을 클릭합니다.

이 단계는 에서 ACS를 신뢰 당사자로 구성하는 데 도움이 됩니다.

  1. 관리 콘솔에서 AD FS 2.0을 클릭하고 작업 창에서 신뢰 당사자 트러스트 추가를 클릭하여 신뢰 당사자 트러스트 추가 마법사를 시작합니다.

  2. 시작 페이지에서 시작을 클릭합니다.

  3. 데이터 소스 선택 페이지에서 온라인이나 로컬 네트워크에 게시된 신뢰 당사자에 대한 데이터 가져오기를 클릭하고 액세스 제어 네임스페이스의 이름을 입력한 후 다음을 클릭합니다.

  4. 표시 이름 지정 페이지에서 표시 이름을 입력한 후 다음을 클릭합니다.

  5. 발급 권한 부여 규칙 선택 페이지에서 모든 사용자가 이 신뢰 당사자에 액세스하도록 허용을 클릭한 후 다음을 클릭합니다.

  6. 트러스트 추가 준비 페이지에서 신뢰 당사자 트러스트 설정을 검토한 후 다음을 클릭하여 구성을 저장합니다.

  7. 마침 페이지에서 닫기를 클릭하여 마법사를 종료합니다. 이렇게 하면 WIF 샘플 앱에 대한 클레임 규칙 편집 속성 페이지도 열립니다. 이 대화 상자를 열어 놓은 후 다음 절차로 이동합니다.

이 단계에서는 에 대한 클레임 규칙을 구성합니다. 이렇게 하면 원하는 클레임을 에서 ACS로 전달할 수 있습니다.

  1. 클레임 규칙 편집 속성 페이지의 발급 변환 규칙 탭에서 규칙 추가를 클릭하여 변환 클레임 규칙 추가 마법사를 시작합니다.

  2. 규칙 템플릿 선택 페이지의 클레임 규칙 템플릿에서 들어오는 클레임 통과 또는 필터링을 클릭한 후 다음을 클릭합니다.

  3. 규칙 구성 페이지의 클레임 규칙 이름에서 규칙 표시 이름을 입력합니다.

  4. 들어오는 클레임 유형 드롭다운 목록에서 응용 프로그램으로 통과시킬 ID 클레임 유형을 선택한 후 마침을 클릭합니다.

  5. 확인을 클릭하여 속성 페이지를 닫고 신뢰 당사자 트러스트에 대한 변경 내용을 저장합니다.

  6. 에서 액세스 제어 네임스페이스로 발급할 각 클레임에 대해 1~5단계를 반복합니다.

  7. 확인을 클릭합니다.

커뮤니티 추가 항목

추가
표시:
© 2015 Microsoft