Freigeben über

SharePoint 2010 및 Azure Access Control Service를 사용한 페더레이션 SAML 인증(2부)

  • Artikel

최초 문서 게시일: 2011년 5월 7일 토요일

이 연재 시리즈의 첫 번째 게시물(https://blogs.technet.com/b/speschka/archive/2011/05/05/federated-saml-authentication-with-sharepoint-2010-and-azure-access-control-service-part-1.aspx(영문일 수 있음))에서는 Azure ACS(Access Control Service)와 직접 트러스트를 설정하도록 SharePoint를 구성하고, ACS를 사용하여 ADFS, Yahoo, Google 및 Windows Live 간의 인증을 페더레이션한 다음, 해당 인증을 사용하여 SharePoint에 로그인하는 방법을 설명했습니다. 2부에서는 1부와 비슷하지만 거의 "반대"로 구현된 시나리오를 사용합니다. 이번에는 SharePoint와 ADFS 간의 일반적인 트러스트를 설정하지만, ACS를 ADFS에서 ID 공급자로 구성한 다음 ACS를 사용하여 로그인 페이지로 리디렉션한 다음, 다시 SharePoint로 돌아오는 방법을 설명합니다. 개인적으로는 이러한 유형의 트러스트(최소한 SharePoint와 ADFS 간의 트러스트)가 SharePoint 사용자들에게 보다 익숙하다고 생각되며, 대부분의 회사에서 사용하는 보다 일반적인 시나리오에 적합하다고 판단됩니다.

1부에서와 마찬가지로 ACS 설정 및 구성에 대해서는 설명하지 않겠습니다. 관련 팀에서 해당 설명을 제공할 것입니다. 이번 2부에서 수행할 단계는 다음과 같습니다.

1.        ADFS를 사용하여 구성된 SharePoint 웹 응용 프로그램과 사이트 모음을 설정합니다.

  1.  
    1. 먼저 SPTrustedIdentityTokenIssuer, ADFS의 신뢰 당사자 및 SharePoint 웹 응용 프로그램과 사이트 모음을 만들어야 합니다. ADFS 자격 증명을 사용하여 사이트에 로그인할 수 있는지 확인하십시오. 저의 이전 게시물인 https://blogs.msdn.com/b/sharepoint_ko/archive/2010/11/17/sharepoint-2010-adfs-v2.aspx에 이 작업을 수행하는 방법에 대한 매우 상세한 정보가 나와 있습니다.

2.        Access Control Management(액세스 제어 관리) 페이지 열기

  1.  
    1. Windows Azure 관리 포털에 로그인하여 왼쪽 창의 Service Bus, Access Control and Caching(서비스 버스, 액세스 제어 및 캐싱) 메뉴를 클릭합니다. 왼쪽 창 위쪽에서 AppFabric 아래의 Access Control(액세스 제어)을 클릭하고, 오른쪽 창에서 네임스페이스를 클릭한 후에 리본 메뉴의 Manage(관리) 부분에 있는 Access Control Service 단추를 클릭합니다. 그러면 Access Control Management(액세스 제어 관리) 페이지가 열립니다.

3.        ADFS와 ACS 간의 트러스트 작성

  1.  
    1. 이 단계에서는 ADFS에서 ACS를 ID 공급자로 구성합니다. 먼저 ADFS 서버로 이동하여 AD FS 2.0 관리 콘솔을 엽니다.
    2. AD FS 2.0 > Trust Relationships(트러스트 관계) > Claims Provider Trusts(클레임 공급자 트러스트) 노드로 이동한 다음 오른쪽 창에서 Add Claims Provider Trust…(클레임 공급자 트러스트 추가...) 링크를 클릭합니다.
    3. Start(시작) 단추를 클릭하여 마법사를 시작합니다.
    4. 기본 옵션을 사용하여 온라인에 게시된 신뢰 당사자에 대한 데이터를 가져옵니다. 사용해야 하는 URL은 ACS 관리 포털에서 확인할 수 있습니다. 포털이 열려 있는 브라우저로 돌아가서 왼쪽 창의 Trust relationships(트러스트 관계) 메뉴 아래에 있는 Application Integration(응용 프로그램 통합) 링크를 클릭합니다.
    5. WS-Federation 메타데이터에 대해 표시된 URL을 복사하여 ADFS 마법사의 Federation metadata address (host name or URL)(페더레이션 메타데이터 주소(호스트 이름 또는 URL)) 편집 상자에 붙여 넣고 Next(다음) 단추를 클릭합니다.
    6. 표시 이름을 입력하고 원하는 경우 메모를 입력한 후에 Next(다음) 단추를 클릭합니다.
    7. 모든 사용자가 ID 공급자에 액세스하도록 허용하는 기본 옵션을 그대로 두고 Next(다음) 단추를 클릭합니다.
    8. Next(다음) 단추를 클릭하여 ID 공급자를 만들고, 확인란을 선택한 상태로 유지하여 Rules Editor(규칙 편집기) 대화 상자를 엽니다. 이 섹션의 나머지 부분은 https://blogs.technet.com/b/speschka/archive/2010/11/24/configuring-adfs-trusts-for-multiple-identity-providers-with-sharepoint-2010.aspx(영문일 수 있음)에서 두 ADFS 서버 간에 트러스트를 설정하는 방법에 대해 설명한 것과 매우 비슷합니다.

IP ADFS 서버에서 가져오는 모든 클레임을 통과하는 규칙을 만들어야 합니다. Rules(규칙) 대화 상자에서 SharePoint로 보낼 각 클레임에 대해 다음을 수행합니다.

  1. Add Rule(규칙 추가)을 클릭합니다.
  2. Claim Rule Template(클레임 규칙 서식 파일) 드롭다운에서 Pass Through(통과) 또는 Filter an Incoming Claim(들어오는 클레임 필터링)을 선택하고 Next(다음) 단추를 클릭합니다.
  3. 클레임 이름을 지정합니다. 통과하는 클레임의 이름을 포함하면 유용합니다. Incoming Claim Type(들어오는 클레임 유형) 드롭다운에서는 E-Mail Address(전자 메일 주소)와 같이 통과할 클레임 유형을 선택합니다. 일반적으로는 기본 옵션인 Pass through all claim values(모든 클레임 값 통과)를 선택한 상태로 두지만, 다른 비즈니스 규칙이 있는 경우에는 적절한 옵션을 선택하고 Finish(마침) 단추를 클릭합니다. 모든 클레임 값을 통과하도록 선택하면 ADFS에서 경고 대화 상자가 표시됩니다.

SharePoint에서 필요한 각 클레임에 대해 통과 클레임을 추가한 후에는 Rules(규칙) 대화 상자를 닫아도 됩니다. 이제 ADFS 구성의 마지막 작업으로, SharePoint 신뢰 당사자를 찾아야 합니다. Edit Claim Rules(클레임 규칙 편집) 대화 상자를 클릭하고 이전 단계에서 만든 각 통과 클레임 규칙에 대해 SharePoint 신뢰 당사자에 대한 통과 클레임 규칙도 추가해야 합니다. 이렇게 하면 클레임이 ACS에서 트러스트된 클레임 공급자를 통해 ADFS로 이동한 다음, 트러스트된 신뢰 당사자를 통해 SharePoint로 이동합니다.

이제 ADFS 구성이 완료되었습니다.

4.        ACS에서 ADFS를 신뢰 당사자로 추가

  1.  
    1. 포털이 열려 있는 브라우저로 돌아가서 왼쪽 창의 Trust relationships(트러스트 관계) 메뉴 아래에 있는 Relying party applications(신뢰 당사자 응용 프로그램) 링크를 클릭합니다.
    2. Add(추가) 링크를 클릭합니다.
    3. Relying Party Application Settings(신뢰 당사자 응용 프로그램 설정) 섹션에 내용을 입력합니다.
      1.  표시 이름을 “ADFS to ACS”와 같이 입력합니다.
      2. 기본 모드를 사용하거나 설정을 수동으로 입력합니다.
      3. Realm(영역) 편집 상자에 ADFS에서 요청과 함께 보낼 영역을 입력해야 합니다. ADFS에는 다른 ID 공급자로 요청을 리디렉션할 때 보내는 특정 영역 목록이 있습니다. 따라서 SharePoint에서 SPTrustedIdentityTokenIssuer를 만들 때 사용한 영역을 사용해서는 안 됩니다. 대신 https://yourFullyQualifiedAdfsServerName/adfs/services/trust를 사용하는 것이 좋습니다.
      4. 반환 URL로는 https:// yourFullyQualifiedAdfsServerName /adfs/ls/를 사용합니다.
      5. Token format(토큰 형식) 드롭다운에서는 SAML 2.0 또는 1.1을 선택합니다. 토큰은 SharePoint가 아닌 ADFS로 전송되며 ADFS에서는 SAML 2.0 토큰을 지원하므로, SharePoint에 직접 연결할 때처럼 드롭다운에서 SAML 1.1을 선택하지 않아도 됩니다.
      6. Token lifetime (secs)(토큰 수명(초))은 원하는 대로 설정할 수 있습니다. 기본값은 10분입니다. 여기서는 3600(1시간)으로 설정했습니다.
    4. Authentication Settings(인증 설정) 섹션에 내용을 입력합니다.
      1. 이 연재 시리즈의 첫 번째 게시물에서 설명한 단계를 수행할 때와 같이, 이전에 동일한 ADFS 서버를 ID 공급자로 추가한 경우가 아니면 모든 ID 공급자를 선택할 수 있습니다. 동일한 ADFS 서버를 ID 공급자로 추가한 경우에는 현재 신뢰 당사자로 설정 중인 동일한 ADFS 서버를 다시 가리키는 ID 공급자를 제외한 모든 공급자를 선택할 수 있습니다.
      2. 시간을 절약하기 위해, Rule groups(규칙 그룹)에서는 1부에서 설명한 규칙 그룹 관련 지침을 따르거나 1부의 작업을 완료한 경우에는 목록에서 해당 규칙 그룹을 선택하면 됩니다.
    5. Token Signing Settings(토큰 서명 설정)에서는 기본 옵션인 Use service namespace certificate (standard)(서비스 네임스페이스 인증서 사용(표준))을 선택한 상태로 두면 됩니다.

Save(저장) 단추를 클릭하여 변경 내용을 저장하고 신뢰 당사자를 만듭니다. 

이제 ADFS 또는 ACS를 사용하여 SharePoint 사이트에 로그인할 수 있습니다. 여기서 한 가지 기억할 점은, ADFS는 마지막으로 사용된 ID 공급자를 저장하기 위해 쿠키를 작성한다는 것입니다. 쿠키가 작성된 이후로는 IE에서 InPrivate 탐색 창과 같은 기능을 사용하는 경우가 아니면 더 이상 ID 공급자를 선택하라는 메시지가 표시되지 않습니다. 여기서 이 사항을 강조하는 이유는, 많은 사용자들이 이 점을 잊어버려 혼란을 초래하기 때문입니다. 예를 들어 아래에는 ADFS 서버로 처음 리디렉션되거나 InPrivate 브라우저 세션을 사용하는 경우의 화면이 나와 있습니다.

Windows Live ID에 대해 전자 메일 주소를 사용하는 방법을 비롯하여, 나머지 부분은 이 연재 시리즈의 1부에서 설명한 것과 동일하며, 스크린샷도 거의 동일하므로 다시 게시하지 않겠습니다. 이 시리즈의 내용을 모두 확인하면 ADFS, ACS 및 ACS에서 지원하는 모든 ID 공급자를 SharePoint 환경에 통합할 수 있습니다. 

이 문서는 번역된 블로그 게시물입니다. 원본 문서는 Federated SAML Authentication with SharePoint 2010 and Azure Access Control Service Part 2를 참조하십시오.