ADFS 2.0을 사용하여 엔터프라이즈 로그인 설정
수천 명의 사용자와 해당하는 제품 액세스를 손쉽게 관리하면서 SSO(Single Sign-On)를 제공할 수 있습니다. SSO를 사용하면 사용자가 다른 엔터프라이즈 응용 프로그램 및 환경에 대한 것과 동일한 ID 공급자를 사용하여 LogMeIn 제품에 액세스할 수 있습니다. 이러한 기능을 엔터프라이즈 로그인이라고 합니다.
이 문서에서는 LogMeIn 제품에 대한 SSO(Single Sign-On) 인증을 지원하는 ADFS(Active Directory Federation Services)의 구성에 대해 다룹니다. 그러나 구현 전에 엔터프라이즈 로그인에 대한 추가 정보를 읽어보고 초기 설정 단계를 완료하십시오.
ADFS 2.0은 Windows Server 2008 및 2008 R2의 다운로드 가능한 구성 요소입니다. 쉽게 배포할 수 있지만 특정 문자열과 인증서, URL 등이 필요한 몇 가지 구성 단계가 있습니다. ADFS 3.0은 엔터프라이즈 로그인도 지원합니다. ADFS 3.0에는 몇 가지가 개선되었는데, 그 중 가장 큰 개선점 중 하나는 Microsoft의 IIS(인터넷 정보 서비스) 서버가 개별 설치가 아닌 배포에 포함된다는 것입니다.
1단계: 페더레이션 서비스 인증서
각 ADFS 배포는 DNS 이름으로 식별됩니다(예: “adfs.mydomain.com). 시작하기 전에 이 주체 이름으로 발행된 인증서가 필요합니다. 식별자는 외부에서 볼 수 있는 이름이므로, 파트너에게 회사를 나타내기에 적당한 것으로 선택하십시오. 또한 이를 서버 호스트 이름으로 사용하시지 마십시오. SPN(Service Principal Names) 등록 시 문제가 발생할 수 있습니다.
2단계: 도메인 사용자 계정 만들기
ADFS 서버에서는 도메인 사용자 계정을 만들어야 서비스를 실행할 수 있습니다(특정 그룹이 필요하지는 않습니다).
3단계: 먼저 ADFS 서버 설치
- ADFS 2.0을 다운로드하고 설치 프로그램을 실행합니다. 설치 프로그램을 도메인 관리자로 실행합니다. AD에 SPN 및 기타 컨테이너가 만들어질 것입니다.
- 서버 역할에서 페더레이션 서버를 선택합니다.
- 설치 마법사가 끝나갈 때 이 마법사를 종료할 때 ADFS 2.0 관리 스냅인 시작하기를 확인합니다.
- ADFS 관리 스냅인에서 새 페더레이션 서비스 만들기 클릭하기.
- 새 페더레이션 서버 팜을 선택합니다.
- 이전 단계에서 만든 인증서를 선택합니다.
- 이전 단계에서 만든 도메인을 선택합니다.
4단계: 신뢰 당사자 구성
이 단계에서는 ADFS에 시스템이 수락하는 SAML 토큰의 종류를 알려줄 것입니다.
- ADFS 2.0 MMC의 탐색 트리에서 신뢰 관계> 신뢰 당사자 트러스트를 선택합니다.
- 신뢰 당사자 트러스트 추가 선택 후 시작을 클릭합니다.
- 데이터 원본 선택에서 온라인 또는 로컬 영역 네트워크에서 게시된 신뢰 당사자에 관한 데이터 가져오기를 선택합니다.
- 선택한 옵션 아래의 텍스트 상자에 메타데이터 URL(https://authentication.logmeininc.com/saml/sp)을 붙입니다.
- 확인을 클릭하여 ADFS 2.0가 이해하지 못하는 일부 메타데이터는 건너뛸 것이라는 점을 확인합니다.
- 표시 이름 지정 페이지에서 LogMeInTrust를 입력하고 다음을 클릭합니다.
- 발급 권한 부여 규칙 선택 화면에서 이 신뢰 당사자에 대한 모든 사용자 액세스 허용을 선택합니다(다른 옵션을 원하지 않는 경우).
- 나머지 프롬프트를 수행하여 이 측의 신뢰 관계를 완료합니다.
클레임 규칙 2개 추가
- 새 엔드포인트 항목을 클릭하고 오른쪽 탐색기에서 클레임 규칙 편집을 클릭합니다.
- 발급 변환 규칙 탭을 선택하고 규칙 추가를 클릭합니다.
- 드롭다운 메뉴에서 LDAP 특성을 클레임으로 보내기를 선택하고 다음을 클릭합니다.
- 다음 설정을 규칙에 사용합니다.
- 클레임 규칙 이름 – AD 전자 메일
- 특성 저장소 – Active Directory
- LDAP 특정 – 전자 메일-주소
- 보내는 클레임 유형 – 전자 메일 주소
- 마침을 클릭합니다.
- 규칙 추가를 다시 클릭합니다.
- 드롭다운 메뉴에서 들어오는 클레임 변환을 선택하고 다음을 클릭합니다.
- 다음 설정을 규칙에 사용합니다.
- 클레임 규칙 이름 - 이름 ID
- 들어오는 클레임 유형 – 전자 메일 주소
- 보내는 클레임 유형 - 이름 ID
- 보내는 이름 ID 형식 - 전자 메일
- 모든 클레임 값 통과를 선택합니다.
- 마침을 클릭합니다.
구성 완료
- 신뢰 당사자 트러스트 폴더에서 새 신뢰 당사자 트러스트를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
- 고급에서 SHA-1을 선택하고 확인을 클릭합니다.
- ADFS에서 기본적으로 암호화된 권리를 보내는 것을 방지하려면 Windows Power Shell 명령 프롬프트를 열고 다음 명령을 실행합니다.
5단계: 트러스트 구성
마지막 구성 단계는 새 ADFS 서비스로 생성된 SAML 토큰을 수락하는 것입니다.
- 조직 센터의 "ID 공급자"를 사용하여 필요한 세부 정보를 추가합니다.
- ADFS 2.0의 경우 “자동” 구성을 선택하고 다음 URL을 입력하여 "서버"를 ADFS 서버의 외부 액세스 가능한 호스트 이름으로 대체합니다. https://server/FederationMetadata/2007-06/FederationMetadata.xml
6단계: 단일 서버 구성 테스트
이 시점에서는 구성을 테스트할 수 있어야 합니다. ADFS 서비스 ID에 대한 DNS 항목을 만들어서, 방금 구성한 ADFS 서버 또는 네트워크 부하 분산 장치를 사용하는 경우 네트워크 부하 분산 장치를 가리키게 합니다.
- ID 공급자에서 시작된 로그온을 테스트하려면 사용자 지정 IdP URL로 이동합니다(예: https://adfs.< my domain.com >/adfs/ls/< IdP Initiated sign on > = https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx). Sign in to one to the following sites(다음 사이트 중 하나에 로그인) 콤보 상자에 신뢰 당사자 식별자가 표시됩니다.
-
신뢰 당사자에서 시작된 로그온을 테스트하려면, SSO(Single Sign-On)를 사용하여 로그인하려면 어떻게 해야 합니까?에 대한 지침을 참고하십시오.