ADFS 2.0을 사용하여 엔터프라이즈 로그인 설정

수천 명의 사용자와 해당하는 제품 액세스를 손쉽게 관리하면서 SSO(Single Sign-On)를 제공할 수 있습니다. SSO를 사용하면 사용자가 다른 엔터프라이즈 응용 프로그램 및 환경에 대한 것과 동일한 ID 공급자를 사용하여 LogMeIn 제품에 액세스할 수 있습니다. 이러한 기능을 엔터프라이즈 로그인이라고 합니다.

이 문서에서는 LogMeIn 제품에 대한 SSO(Single Sign-On) 인증을 지원하는 ADFS(Active Directory Federation Services)의 구성에 대해 다룹니다. 그러나 구현 전에 엔터프라이즈 로그인에 대한 추가 정보를 읽어보고 초기 설정 단계를 완료하십시오.

ADFS 2.0은 Windows Server 2008 및 2008 R2의 다운로드 가능한 구성 요소입니다. 쉽게 배포할 수 있지만 특정 문자열과 인증서, URL 등이 필요한 몇 가지 구성 단계가 있습니다. ADFS 3.0은 엔터프라이즈 로그인도 지원합니다. ADFS 3.0에는 몇 가지가 개선되었는데, 그 중 가장 큰 개선점 중 하나는 Microsoft의 IIS(인터넷 정보 서비스) 서버가 개별 설치가 아닌 배포에 포함된다는 것입니다.

참고: 이미 ADFS 2.0을 배포한 경우 아래의 4단계로 건너뛸 수 있습니다.

1단계: 페더레이션 서비스 인증서

각 ADFS 배포는 DNS 이름으로 식별됩니다(예: “adfs.mydomain.com). 시작하기 전에 이 주체 이름으로 발행된 인증서가 필요합니다. 식별자는 외부에서 볼 수 있는 이름이므로, 파트너에게 회사를 나타내기에 적당한 것으로 선택하십시오. 또한 이를 서버 호스트 이름으로 사용하시지 마십시오. SPN(Service Principal Names) 등록 시 문제가 발생할 수 있습니다.

인증서를 생성하는 방법은 많습니다. 도메인에 CA가 있을 경우 가장 쉬운 방법은 IIS 7 관리 콘솔을 사용하는 것입니다.

오픈 웹 서버(IIS) 관리 스냅인.
탐색 트리에서 서버 노드를 선택한 후 서버 인증서 옵션을 선택합니다.
도메인 인증서 생성을 선택합니다.
페더레이션 서비스 이름의 일반 이름을 입력합니다(예: adfs.mydomain.com ).
Active Directory 인증서 권한을 선택합니다.
인증서의 "식별 이름"을 입력합니다(식별자라면 아무거나 괜찮습니다).

참고: IIS 콘솔을 사용하여 인증서를 생성한 경우가 아니라면, 계속하기 전에 ADFS를 설치할 서버의 IIS 서비스에 인증서가 결합되어 있는지 확인하십시오.

2단계: 도메인 사용자 계정 만들기

ADFS 서버에서는 도메인 사용자 계정을 만들어야 서비스를 실행할 수 있습니다(특정 그룹이 필요하지는 않습니다).

3단계: 먼저 ADFS 서버 설치

ADFS 2.0을 다운로드하고 설치 프로그램을 실행합니다. 설치 프로그램을 도메인 관리자로 실행합니다. AD에 SPN 및 기타 컨테이너가 만들어질 것입니다.
서버 역할에서 페더레이션 서버를 선택합니다.
설치 마법사가 끝나갈 때 이 마법사를 종료할 때 ADFS 2.0 관리 스냅인 시작하기를 확인합니다.
ADFS 관리 스냅인에서 새 페더레이션 서비스 만들기 클릭하기.
새 페더레이션 서버 팜을 선택합니다.
이전 단계에서 만든 인증서를 선택합니다.
이전 단계에서 만든 도메인을 선택합니다.

4단계: 신뢰 당사자 구성

이 단계에서는 ADFS에 시스템이 수락하는 SAML 토큰의 종류를 알려줄 것입니다.

다음과 같이 신뢰 관계를 설정합니다.

ADFS 2.0 MMC의 탐색 트리에서 신뢰 관계> 신뢰 당사자 트러스트를 선택합니다.
신뢰 당사자 트러스트 추가 선택 후 시작을 클릭합니다.
데이터 원본 선택에서 온라인 또는 로컬 영역 네트워크에서 게시된 신뢰 당사자에 관한 데이터 가져오기를 선택합니다.
선택한 옵션 아래의 텍스트 상자에 메타데이터 URL(https://authentication.logmeininc.com/saml/sp)을 붙입니다.
확인을 클릭하여 ADFS 2.0가 이해하지 못하는 일부 메타데이터는 건너뛸 것이라는 점을 확인합니다.
표시 이름 지정 페이지에서 LogMeInTrust를 입력하고 다음을 클릭합니다.
발급 권한 부여 규칙 선택 화면에서 이 신뢰 당사자에 대한 모든 사용자 액세스 허용을 선택합니다(다른 옵션을 원하지 않는 경우).
나머지 프롬프트를 수행하여 이 측의 신뢰 관계를 완료합니다.

클레임 규칙 2개 추가

새 엔드포인트 항목을 클릭하고 오른쪽 탐색기에서 클레임 규칙 편집을 클릭합니다.
발급 변환 규칙 탭을 선택하고 규칙 추가를 클릭합니다.
드롭다운 메뉴에서 LDAP 특성을 클레임으로 보내기를 선택하고 다음을 클릭합니다.
다음 설정을 규칙에 사용합니다.
- 클레임 규칙 이름 – AD 전자 메일
- 특성 저장소 – Active Directory
- LDAP 특정 – 전자 메일-주소
- 보내는 클레임 유형 – 전자 메일 주소
마침을 클릭합니다.
규칙 추가를 다시 클릭합니다.
드롭다운 메뉴에서 들어오는 클레임 변환을 선택하고 다음을 클릭합니다.
다음 설정을 규칙에 사용합니다.
- 클레임 규칙 이름 - 이름 ID
- 들어오는 클레임 유형 – 전자 메일 주소
- 보내는 클레임 유형 - 이름 ID
- 보내는 이름 ID 형식 - 전자 메일
모든 클레임 값 통과를 선택합니다.
마침을 클릭합니다.

구성 완료

신뢰 당사자 트러스트 폴더에서 새 신뢰 당사자 트러스트를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
고급에서 SHA-1을 선택하고 확인을 클릭합니다.
ADFS에서 기본적으로 암호화된 권리를 보내는 것을 방지하려면 Windows Power Shell 명령 프롬프트를 열고 다음 명령을 실행합니다.

set-ADFSRelyingPartyTrust –TargetName"< relyingPartyTrustDisplayName >" –EncryptClaims $False

5단계: 트러스트 구성

마지막 구성 단계는 새 ADFS 서비스로 생성된 SAML 토큰을 수락하는 것입니다.

조직 센터의 "ID 공급자"를 사용하여 필요한 세부 정보를 추가합니다.
ADFS 2.0의 경우 “자동” 구성을 선택하고 다음 URL을 입력하여 "서버"를 ADFS 서버의 외부 액세스 가능한 호스트 이름으로 대체합니다. https://server/FederationMetadata/2007-06/FederationMetadata.xml

6단계: 단일 서버 구성 테스트

이 시점에서는 구성을 테스트할 수 있어야 합니다. ADFS 서비스 ID에 대한 DNS 항목을 만들어서, 방금 구성한 ADFS 서버 또는 네트워크 부하 분산 장치를 사용하는 경우 네트워크 부하 분산 장치를 가리키게 합니다.

ID 공급자에서 시작된 로그온을 테스트하려면 사용자 지정 IdP URL로 이동합니다(예: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Sign in to one to the following sites(다음 사이트 중 하나에 로그인) 콤보 상자에 신뢰 당사자 식별자가 표시됩니다.
신뢰 당사자에서 시작된 로그온을 테스트하려면, SSO(Single Sign-On)를 사용하여 로그인하려면 어떻게 해야 합니까?에 대한 지침을 참고하십시오.