WS-Federation ID 공급자
업데이트: 2015년 6월 19일
Azure에 적용합니다.
WS-Federation ID 공급자는 WS-Federation 프로토콜을 지원하고 WS-Federation 메타데이터를 사용하여 Microsoft Azure Active Directory Access Control(Access Control Service 또는 ACS라고도 함)로 구성된 사용자 지정 ID 공급자입니다. WS-Federation ID 공급자는 WS-Trust 등의 다른 페더레이션 프로토콜도 지원할 수 있으며, WS-Federation ID 공급자는 웹 사이트 및 웹 애플리케이션 시나리오에서 가장 자주 사용됩니다. 여기서 WS-Federation 수동 요청자 프로필은 웹 브라우저를 사용하여 ACS와 주고받는 데 필요한 토큰 리디렉션을 용이하게 하는 데 사용됩니다.
Microsoft Active Directory Federation Services 2.0
WS-Federation ID 공급자의 일반적인 예는 입니다. 이를 사용하여 엔터프라이즈 Active Directory 계정을 ACS와 통합할 수 있습니다. ACS에서 ID 공급자로 추가하고 구성하려면 AD DS(Active Directory Domain Services)와 같이 하나 이상의 클레임 공급자 트러스트를 설치하고 작업해야 합니다. 자세한 내용은 방법: AD FS 2.0을 ID 공급자로 구성을 참조하세요.
ACS 관리 포털에서 구성
ACS 관리 포털을 사용하여 WS-Federation ID 공급자를 구성하는 경우 다음 데이터를 입력해야 합니다.
표시 이름 - ID 공급자의 표시 이름을 지정합니다. 이 이름은 ACS 관리 포털에서만 사용됩니다.
WS-Federation 메타데이터 - 토큰, 권한 부여 등의 설정된 페더레이션 서비스에 대한 구성 정보(페더레이션 메타데이터) 및 정보 액세스용 정책을 포함합니다. ACS에서 WS-Federation ID 공급자를 추가하는 경우 페더레이션 메타데이터 문서의 URL을 입력하거나 WS-Federation ID 공급자에 대한 메타데이터 문서의 로컬 복사본을 업로드해야 합니다.
경고
신뢰할 수 있는 WS-Federation ID 공급자에서만 WS-Federation 메타데이터를 가져오세요.
보안상의 이유로 WS-Federation ID 공급자는 페더레이션 메타데이터 문서를 HTTPS URL에 게시하는 것이 좋습니다. 또한 WS-Federation ID 공급자는 HTTPS 토큰 발급 엔드포인트만 사용하는 것이 좋습니다.
로그인 링크 텍스트 - 웹 응용 프로그램의 로그인 페이지에서 이 ID 공급자에 표시되는 텍스트를 지정합니다. 자세한 내용은 로그인 페이지 및 홈 영역 검색을 참조하세요.
이미지 URL(선택 사항) - 해당 ID 공급자의 로그인 링크로 표시할 수 있는 이미지 파일(예: 선택한 로고)에 URL을 연결합니다. 이 로고는 ACS 인식 웹 애플리케이션의 기본 로그인 페이지와 사용자 지정 로그인 페이지를 렌더링하는 데 사용할 수 있는 웹 애플리케이션의 JSON 피드에 자동으로 표시됩니다. 이미지 URL을 지정하지 않으면 해당 ID 공급자의 텍스트 로그인 링크가 웹 응용 프로그램의 로그인 페이지에 표시됩니다. 이미지 URL을 지정하는 경우에는 해당 URL이 자신의 웹 사이트나 응용 프로그램과 같이 신뢰할 수 있는 원본을 가리키도록 해야 하며 브라우저 보안 경고가 표시되지 않도록 HTTPS를 사용하는 것이 좋습니다. 또한, 너비가 240픽셀보다 크고 높이가 40픽셀보다 큰 이미지는 기본 ACS 홈 영역 검색 페이지에서 크기가 자동으로 조정됩니다. 파트너로부터 이 이미지를 표시할 수 있는 권한을 얻는 것이 좋습니다.
전자 메일 도메인 이름(선택 사항) - 전자 메일 주소를 사용하여 로그인하라는 메시지를 사용자에게 표시하려면 이 ID 공급자에서 호스팅하는 전자 메일 도메인 접미사를 지정하면 됩니다. 그렇지 않고 직접 로그인 링크를 표시하려면 이 필드를 비워 둡니다. 세미콜론을 사용하여 접미사 목록을 구분합니다. 자세한 내용은 로그인 페이지 및 홈 영역 검색을 참조하세요.
신뢰 당사자 응용 프로그램 - 이 ID 공급자와 연결할 기존 신뢰 당사자 응용 프로그램을 모두 지정합니다. 자세한 내용은 신뢰 당사자 애플리케이션을 참조하세요.
ID 공급자를 신뢰 당사자 응용 프로그램에 연결한 후에는 신뢰 당사자 응용 프로그램의 규칙 그룹에서 해당 ID 공급자에 대한 규칙을 생성하거나 수동으로 추가하여 구성을 완료해야 합니다. 규칙을 만드는 방법에 대한 자세한 내용은 규칙 그룹 및 규칙을 참조하세요.
지원되는 클레임 유형
ID 공급자에 인증한 사용자는 ID 클레임이 채워진 토큰을 받습니다. 클레임은 전자 메일 주소 또는 고유 ID와 같은 사용자에 대한 정보입니다. ACS는 이러한 클레임을 신뢰 당사자 애플리케이션에 직접 전달하거나 포함된 값에 따라 권한 부여 결정을 내릴 수 있습니다.
기본적으로 ACS의 클레임 형식은 SAML 토큰 사양을 준수하기 위해 URI를 사용하여 고유하게 식별됩니다. 이러한 URI는 다른 토큰 형식의 클레임을 식별하는 데도 사용됩니다.
WS-Federation ID 공급자의 경우 사용 가능한 클레임 유형은 ACS로 가져온 ID 공급자에 대한 WS-Federation 메타데이터에 의해 결정됩니다. 가져오기가 완료되면 ID 공급자에 사용할 수 있는 클레임 유형이 ACS 관리 포털의 클레임 규칙 편집 페이지에 표시됩니다. 이러한 클레임 유형은 ACS 관리 서비스의 ClaimType 엔터티를 통해서도 표시됩니다.
ACS는 WS-Federation 메타데이터를 통해 사용할 수 있는 클레임 유형 외에도 항상 각 WS-Federation ID 공급자에 대해 다음 클레임을 발급합니다.
| 클레임 유형 | URI | 설명 |
|---|---|---|
이름 식별자 |
https://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier |
ID 공급자가 제공하는 사용자 계정의 고유 식별자입니다. |
ID 공급자 |
https://schemas.microsoft.com/accesscontrolservice/2010/07/claims/IdentityProvider |
사용자가 선택한 ID 공급자를 사용하여 인증했음을 신뢰 당사자 애플리케이션에 알리는 ACS에서 제공하는 클레임입니다. 이 클레임의 값은 ID 공급자 편집 페이지의 영역 필드를 통해 ACS 관리 포털에 표시됩니다. |
참고
WS-Federation ID 공급자는 ID 공급자의 WS-Federation 메타데이터 문서에 명시적으로 나열되지 않은 ACS에 클레임 유형을 발급할 수도 있습니다. 이 경우 필요한 클레임 유형 URI를 선택하는 대신 규칙에 수동으로 입력할 수 있습니다. 규칙에 대한 자세한 내용은 규칙 그룹 및 규칙을 참조하세요.
인증서 관리
WS-Federation ID 공급자에 대한 X.509 토큰 서명 인증서는 ACS 관리 포털의 ID 공급자 페이지에 나열됩니다. 이러한 인증서를 모니터링하여 유효한지 확인하고 만료되기 전에 바꿔야 합니다.
WS-Federation ID 공급자용 인증서를 확인하려면
ACS 관리 포털에서 ID 공급자를 클릭합니다.
WS-Federation ID 공급자를 클릭합니다.
페이지 아래쪽의 토큰 서명 인증서 섹션으로 스크롤합니다.
WS-Federation ID 공급자에 대한 인증서를 관리하는 방법에 대한 자세한 내용은 WS-Federation ID 공급자 인증서를 참조하세요.