ADFS 3.0을 사용하여 엔터프라이즈 로그인 설정

수천 명의 사용자와 해당하는 제품 액세스를 손쉽게 관리하면서 SSO(Single Sign-On)를 제공할 수 있습니다. SSO를 사용하면 사용자가 다른 엔터프라이즈 응용 프로그램 및 환경에 대한 것과 동일한 ID 공급자를 사용하여 LogMeIn 제품에 액세스할 수 있습니다. 이러한 기능을 엔터프라이즈 로그인이라고 합니다.

이 문서에서는 LogMeIn 제품에 대한 SSO(Single Sign-On) 인증을 지원하는 ADFS(Active Directory Federation Services)의 구성에 대해 다룹니다. 그러나 구현 전에 엔터프라이즈 로그인에 대한 추가 정보를 읽어보고 초기 설정 단계를 완료하십시오.

ADFS 3.0은 ADFS 2.0의 향상된 버전입니다. Windows Server 2012 R2의 다운로드 가능한 구성 요소입니다. 3.0의 가장 큰 장점 중 하나는 Microsoft의 IIS(인터넷 정보 서비스) 서버가 개별 설치가 아닌 배포에 포함된다는 것입니다. 향상된 기능으로 인해 이전 버전과는 설치 및 구성이 조금 다릅니다.

이 문서에서는 ADFS를 설치 및 구성하는 방법과 SAML과 엔터프라이즈 로그인의 신뢰 관계에서 ADFS를 설정하는 방법에 대해 다룹니다. 이 신뢰 관계에서 ADFS는 ID 공급자이고 LogMeIn은 서비스 공급자입니다. 완료되면 사용자는 LogMeIn에서 ADFS가 제공하는 SAML 어설션을 사용하여 GoToMeeting과 같은 제품에 인증할 수 있습니다. 사용자는 서비스 공급자 측 또는 ID 공급자 측에서 인증을 시작할 수 있습니다.

이 문서의 항목:

요구 사항

설치

구성

신뢰 관계 설정

구성 테스트

요구 사항

ADFS 3.0의 사전 요구 사항은 다음과 같습니다.

• ADFS를 해당하는 클라이언트에 인증하는 공개적으로 신뢰할 수 있는 인증서. ADFS 서비스 이름은 인증서 주체 이름에서 추정되므로 인증서 주체 이름이 적절히 할당되어야 합니다.
• ADFS 서버는 Active Directory 도메인의 구성원이어야 하며 ADFS를 구성하려면 도메인 관리자 계정이 필요합니다.
• ADFS 호스트 이름을 클라이언트로 확인하려면 DNS 항목이 필요합니다.

전체적이고 자세한 요구 사항 목록은 Microsoft ADFS 3.0 개요에서 검토할 수 있습니다.

설치

1. 관리 도구 | 서버 관리자 | 역할 및 기능 추가를 선택하여 ADFS 3.0 설치를 시작합니다.
2. 설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치를 선택하고 다음을 클릭합니다.
3. 대상 서버 선택 페이지에서 ADFS 서비스를 설치할 서버를 선택하고 다음을 클릭합니다.
4. 서버 역할 선택 페이지에서 Active Directory Federation Services를 선택하고 다음을 클릭합니다.
5. 기능 선택에서 설치하려는 추가 기능이 없는 경우 기본값을 유지하고 다음을 클릭합니다.
6. Active Directory Domain Services 페이지의 정보를 검토하고 다음을 클릭합니다.
7. 설치 선택 확인 페이지에서 설치를 시작합니다.

구성

1. 알림에 배포 후 구성… 작업이 남아 있음을 알리는 알림이 표시됩니다. 알림을 열고 링크를 클릭하여 마법사를 시작합니다.
2. 시작 페이지에서 새 페더레이션 서버 팜에 첫 번째 페더레이션 서버를 만듭니다를 선택합니다(이 ADFS 서버를 추가할 기존 팜이 없는 경우).
3. ADFS에 연결 페이지에서 이 구성을 수행할 도메인 관리자 계정을 선택합니다.
4. 서비스 속성 지정에서 사전 요구 사항에서 만든 SSL 인증서를 지정합니다. 페더레이션 서비스 이름 및 페더레이션 서비스 표시 이름을 설정합니다.
5. 서비스 계정 지정에서 ADFS에 사용할 계정을 선택합니다.
6. 구성 데이터베이스 지정에서 사용할 데이터베이스를 선택합니다.
7. 필수 조건 확인의 정보를 검토하고 구성을 클릭합니다.

신뢰 관계 설정

서로를 신뢰하도록 각 당사자(ADFS 및 LogMeIn)를 구성해야 합니다. 따라서 신뢰 관계 구성은 2단계 프로세스입니다.

1단계: LogMeIn SAML을 신뢰하도록 ADFS 구성

1. 관리 도구 | ADFS 관리를 엽니다.
2. ADFS 관리에서 작업 드롭다운 메뉴를 사용하여 신뢰 당사자 트러스트 추가를 선택합니다. 신뢰 당사자 트러스트 추가 마법사가 시작됩니다.
3. 마법사의 데이터 원본 선택 페이지에서 온라인 또는 LAN(로컬 영역 네트워크)에 게시한 신뢰 당사자 관련 데이터 가져오기를 선택하고 선택한 옵션 아래의 텍스트 상자에 메타데이터 URL을 붙여 넣습니다.

   https://authentication.logmeininc.com/saml/sp.

4. 다음을 클릭합니다.
   
5. 지금 다단계 인증을 구성하시겠습니까? 페이지를 건너뜁니다.
6. 발급 권한 부여 규칙 선택 화면에서 이 신뢰 당사자에 대한 모든 사용자 액세스 허용을 선택합니다(다른 옵션을 원하지 않는 경우).
7. 나머지 프롬프트 단계를 수행하여 이 측의 신뢰 관계를 완료합니다.
8. 이제 클레임 규칙 2개를 추가합니다.
9. 새 엔드포인트 항목을 클릭하고 오른쪽에서 클레임 규칙 편집을 클릭합니다.
10.  발급 변환 규칙 탭을 선택하고 규칙 추가를 클릭합니다.
11.  드롭다운 메뉴에서 LDAP 특성을 클레임으로 보내기를 선택하고 다음을 클릭합니다.
12. 다음 설정을 규칙에 사용합니다.

클레임 규칙 이름	AD 전자 메일
특성 저장소	Active Directory
LDAP 특성	전자 메일 주소
보내는 클레임 유형	전자 메일 주소

13. 마침을 클릭합니다.
14. 규칙 추가를 다시 클릭합니다.
15. 드롭다운 메뉴에서 들어오는 클레임 변환을 선택하고 다음을 클릭합니다.
16. 다음 설정을 사용합니다. 

클레임 규칙 이름	이름 ID
들어오는 클레임 유형	전자 메일 주소
보내는 클레임 유형	이름 ID
보내는 이름 ID 형식	전자 메일

17. 모든 클레임 값 통과를 선택합니다.
18. 마침을 클릭합니다.
19. 신뢰 당사자 트러스트 폴더에서 새 신뢰 당사자 트러스트를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
20. 고급에서 SHA-1을 선택하고 확인을 클릭합니다.
21. ADFS에서 기본적으로 암호화된 어설션을 보내는 것을 방지하려면 Windows Power Shell 명령 프롬프트를 열고 다음 명령을 실행합니다.

    set-ADFSRelyingPartyTrust –TargetName " " –EncryptClaims $False

2단계. ADFS를 신뢰하도록 LogMeIn 구성

1. 조직 센터로 이동하고 ID 공급자 Webform을 사용합니다.
2. ADFS는 기본적으로 표준 URL에 메타데이터를 게시합니다. https:// /federationmetadata/2007-06/federationmetadata.xml .
   1. 이 URL을 인터넷에서 공개적으로 사용할 수 있는 경우 조직 센터의 ID 공급자 탭에서 자동 구성 옵션을 선택하고 텍스트 상자에 URL을 붙여 넣습니다. 저장을 클릭합니다.
   2. 메타데이터 URL을 공개적으로 사용할 수 없는 경우 ADFS에서 SSO(Single Sign-On) URL 및 인증서(서명 유효성 검사용)를 수집하고 조직 센터의 ID 공급자 탭에서 수동 구성 옵션을 사용하여 제출합니다.
3. 필요한 항목을 수집하려면 다음을 수행합니다.
   • SSO(Single-Sign-On) 서비스 URL을 수집하려면 ADFS 관리 창을 열고 엔드포인트 폴더를 선택하여 ADFS 엔드포인트 목록을 표시합니다. SAML 2.0/WS-Federation 유형 엔드포인트를 찾고 속성에서 URL을 수집합니다. 또는 표준 메타데이터 URL에 액세스할 수 있는 경우 브라우저에서 URL의 콘텐츠를 표시하고 XML 콘텐츠에서 SSO(Single Sign-On) URL을 찾습니다.
   • 서명 유효성 검사를 위한 인증서를 수집하려면 ADFS 관리 콘솔을 열고 인증서 폴더를 선택하여 인증서를 표시합니다. 토큰 서명 인증서를 찾고 마우스 오른쪽 단추로 클릭한 다음 인증서 보기를 선택합니다. 세부 정보 탭을 선택한 다음 파일로 복사 옵션을 선택합니다. 인증서 내보내기 마법사를 사용하여 Base-64로 인코딩된 X.509(.Cer)를 선택합니다. 파일에 이름을 할당하여 인증서를 파일로 내보내는 작업을 완료합니다.
4. 이러한 필드를 조직 센터에 입력하고 저장을 클릭합니다.

구성 테스트

ID 공급자에서 시작된 로그온을 테스트하려면 다음 위치로 이동합니다.

https://adfs.mydomain.com/adfs/ls/IdpInitiatedSignOn.aspx

Sign in to one to the following sites(다음 사이트 중 하나에 로그인) 콤보 상자에 신뢰 당사자 식별자가 표시됩니다.

신뢰 당사자에서 시작된 로그온을 테스트하려면 로그인하려는 LogMeIn 제품의 웹 로그인 페이지(예: www.gotomeeting.com)로 이동하고 로그인 페이지에서 Use my company ID(내 회사 ID 사용) 옵션을 클릭합니다.

전자 메일 주소를 입력합니다. ADFS 서버로 리디렉션되고 로그인하라는 메시지가 표시됩니다(Windows 통합 인증을 사용하는 경우 자동으로 로그인될 수 있음). 로그인하면 원하는 제품으로 바로 이동합니다.