다음을 통해 공유

방법: Azure AD 테넌트를 ID 공급자로 추가

  • 아티클

업데이트: 2015년 6월 19일

Azure에 적용합니다.

적용 대상

  • Microsoft Azure Active Directory 액세스 제어(액세스 제어 서비스 또는 ACS라고도 함)

개요

이 항목에서는 Access Control 네임스페이스의 ID 공급자 목록에 AD(Azure Active Directory) 테넌트를 추가하는 방법을 설명합니다. 이 기능을 통해 네임스페이스와 연결된 응용 프로그램에 대해 ID 공급자로 테넌트를 사용할 수 있습니다.

이 프로세스는 다음과 같은 두 개의 주요 요소로 구성됩니다.

  1. Azure AD 테넌트에 Access Control 네임스페이스를 웹앱으로 추가합니다. 이를 통해 네임스페이스(웹 앱)가 Azure AD로부터 토큰을 수신할 수 있습니다.

  2. Azure AD 테넌트를 id 공급자로 Access Control 네임스페이스에 추가합니다.

나머지 단계는 ACS의 모든 ID 공급자에 대해 공통됩니다. ID 공급자에서 신뢰 당사자 응용 프로그램으로 전달되는 ID 클레임을 결정하는 규칙 및 신뢰 당사자 응용 프로그램을 추가할 수 있습니다.

요구 사항

이 항목의 지침을 따르는 데 필요한 항목은 다음과 같습니다.

  1. Azure 구독 자세한 내용은 Azure 시작 참조하세요.

  2. Azure 액세스 제어 네임스페이스. 도움말은 방법: Access Control 네임스페이스 만들기를 참조하세요.

  3. Visual Studio 2012

단계 요약

Azure AD 테넌트를 ID 공급자로 추가하려면 다음 단계를 수행하세요.

  • 1단계: Access Control 네임스페이스의 이름 찾기

  • 2단계: 웹 애플리케이션으로 Access Control 네임스페이스 추가

  • 3단계: Azure AD 테넌트 ID 공급자를 Access Control 네임스페이스에 추가

  • 4단계: 앱에서 Azure AD 테넌트 ID 공급자 사용

1단계: Access Control 네임스페이스의 이름 찾기

이 단계에서는 다음 단계에서 사용하기 위해 네임스페이스 이름을 복사합니다. WS-Federation 로그인 응답을 수신하는 엔드포인트에 토큰을 전송해야 함을 나타내는 네임스페이스 이름이 필요합니다.

네임스페이스 URL이 관리 포털 필드에 있더라도 토큰은 포털이 아닌 지정된 엔드포인트에 전송됩니다.

  1. Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)

  2. Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.

  3. 응용 프로그램 통합을 클릭합니다.

  4. 관리 포털 필드의 값을 복사합니다.

    관리 포털 필드의 URL 형식은 다음과 같습니다.

    < https:// Namespace.accesscontrol.windows.net/>

    값을 저장합니다. 이 값은 다음 단계에 필요합니다.

관리 포털 필드의 값은 WS-Federation 로그인 응답을 수신하는 엔드포인트의 URL 및 네임스페이스 이름입니다.

2단계: 웹 애플리케이션으로 Access Control 네임스페이스 추가

이 단계에서는 Azure 관리 포털의 기능을 사용하여 Access Control 네임스페이스를 Azure AD 테넌트에 웹 애플리케이션으로 추가합니다. 그러면 테넌트가 Azure AD에서 생성하는 토큰의 수신자로 설정됩니다.

  1. Azure 관리 포털로 이동하여 로그인합니다. Active Directory를 클릭하고, 디렉터리를 클릭하고, 애플리케이션을 클릭한 다음, 추가를 클릭합니다.

    Add an application to an Active Directory tenant

  2. 앱의 이름을 입력합니다. 유형 필드에서 웹 응용 프로그램 및/또는 웹 API(기본값)를 선택합니다. 계속하려면 화살표를 클릭합니다.

    Add a name and type for the app

  3. 앱 URL 및 앱 ID URI 텍스트 상자에 응용 프로그램 통합 페이지의 관리 포털 필드에 있는 URL을 붙여넣습니다. 계속하려면 화살표를 클릭합니다.

    앱 URL은 사용자가 성공적으로 인증될 때 토큰이 전송되는 주소입니다. 앱 ID URI는 토큰의 범위가 지정되는 대상입니다. Access Control 네임스페이스의 entityID 이외의 값을 사용한 경우 ACS는 이 값을 man-in-the-middle 공격에서 재사용된 토큰으로 해석합니다.

    값을 붙여넣을 때 마지막 슬래시(/) 뒤에 추가 문자나 후행 공백이 포함되지 않도록 주의합니다. 마지막 슬래시 뒤에 후행 공백이나 추가 문자가 포함되면 Azure AD에서 이 URL을 유효하지 않은 것으로 표시합니다.

    Add the URL and App ID Uri for the app

  4. 디렉터리 액세스 페이지에서 기본 설정인 SSO(Single Sign-On)를 선택합니다. ACS가 Graph API를 호출하지 않으므로 이 설정은 사용되지 않습니다. 프로세스를 마치려면 확인 표시를 클릭합니다.

    이 시점에서 Azure AD 테넌트는 Access Control 네임스페이스에 대해 알고 있으며 토큰을 발급할 수 있습니다.

    Specify the access requirements of the app

  5. 마지막 페이지에서 페더레이션 메타데이터 URL을 복사합니다. 이후 단계에 이 URL이 필요합니다.

    이 페이지로 돌아오려면

    • Azure 관리 포털로 이동하여 로그인합니다.

    • Azure 디렉터리를 클릭합니다.

    • 응용 프로그램을 클릭합니다.

    • 응용 프로그램을 클릭합니다.

    페더레이션 메타데이터 URL은 애플리케이션의 앱 엔드포인트 페이지에도 표시됩니다. 이 페이지를 보려면 응용 프로그램 페이지에서 엔드포인트 보기를 클릭합니다.

    Page announces that app is added

3단계: Azure AD 테넌트 ID 공급자를 Access Control 네임스페이스에 추가

이 단계에서는 Azure AD 테넌트에 대한 STS(보안 토큰 서비스)를 Access Control 네임스페이스에 추가합니다.

  1. Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)

  2. Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.

    이 작업은 Access Control 네임스페이스에 대한 ACS 관리 포털을 엽니다.

    ACS Management Portal

  3. ID 공급자를 클릭한 후 추가를 클릭합니다.

  4. WS-Federation ID 공급자를 선택한 후 "다음"을 클릭합니다.

    Add an identity provider

  5. 표시 이름 및 로그인 링크 텍스트를 입력합니다. 이 값에 대해 별도의 요구 사항은 없습니다.

  6. WS-Federation 메타데이터 섹션에서 URL을 클릭하고 응용 프로그램 페이지에서 복사한 페더레이션 메타데이터 URL을 붙여넣습니다. 그런 다음 저장을 클릭합니다.

    이 페이지의 또 다른 유용한 필드는 로그인 링크 텍스트 필드입니다. 이 필드의 값은 사용자가 응용 프로그램에 로그인할 때 제공되는 ID 공급자 목록에 표시됩니다.

    Enter the Federation Metadata URL

4단계: 앱에서 Azure AD 테넌트 ID 공급자 사용

이제 Azure AD 테넌트가 Access Control 네임스페이스의 ID 공급자로 등록됩니다. 어떤 의미에서는 작업이 완료되었습니다. 하지만 이 단계에서는 새 ID 공급자를 웹 응용 프로그램의 ID 공급자 제품에 추가하여 이 ID 공급자를 사용하는 방법에 대해 설명합니다.

앱에 대해 새 ID 공급자를 선택하려면 아래의 표준 절차를 따르세요.

  1. Visual Studio 2012를 시작한 후 웹 응용 프로그램을 엽니다.

  2. 솔루션 탐색기에서 앱 이름을 마우스 오른쪽 단추로 클릭한 후 ID 및 액세스 권한을 클릭합니다.

  3. 공급자 탭에서 Azure 액세스 제어 서비스 사용을 클릭합니다.

  4. 앱을 액세스 제어 네임스페이스에 연결하려면 네임스페이스의 관리 키가 필요합니다. 아래에 이 관리 키를 찾는 방법이 나와 있습니다.

    1. Microsoft Azure 관리 포털(https://manage.WindowsAzure.com)로 이동하여 로그인한 다음 Active Directory를 클릭합니다. (문제 해결 팁: "Active Directory" 항목이 없거나 사용할 수 없음)

    2. Access Control 네임스페이스를 관리하려면 네임스페이스를 선택한 다음 관리를 클릭합니다. 또는 Access Control 네임스페이스를 클릭하고 네임스페이스를 선택한 다음 관리를 클릭합니다.

    3. 관리 서비스, 관리 클라이언트, 대칭 키를 차례로 클릭합니다.

    4. 키 표시를 클릭하고 키 값을 복사한 후 키 숨기기를 클릭합니다.

  5. 이제 다시 Visual Studio로 돌아가 ACS 네임스페이스 구성 대화 상자에 액세스 제어 네임스페이스의 이름을 입력하고 관리 키 값을 붙여넣습니다.

    Enter the namespace name and key in Visual Studio

  6. 그런 다음 네임스페이스의 ID 공급자 목록에서 Azure AD 테넌트 ID 공급자를 선택합니다.

    Select the AD Tenant identity provider

  7. 앱을 실행하면 로그인 대화 상자의 ID 공급자 옵션에 Azure AD 테넌트 ID 공급자가 포함됩니다 (이 페이지에 표시되는 이름은 ID 공급자 설정 페이지의 로그인 링크 텍스트 필드에서 정의됨).

    Select an identity provider

  8. Azure AD 테넌트를 선택한 후 조직 계정으로 로그인합니다.

    Application sign-in page

이제 응용 프로그램에 액세스되었습니다. 인증 토큰이 ID 공급자인 Azure AD 테넌트로 전달됩니다.

참고 항목

개념

ACS 사용 방법