Microsoft Azure 팩 인증 개요
적용 대상: Windows Azure Pack
Windows Windows Server용 Azure Pack은 클레임 기반 인증을 사용하여 관리자용 관리 포털, 테넌트용 관리 포털 및 서비스 관리 REST API에 대한 액세스 권한을 부여합니다. 이 섹션에서는 Windows Azure Pack이 클레임 기반 인증을 구현하는 방법에 대한 개요를 제공합니다. Windows Azure Pack Developer Kit에는 Windows Azure Pack 관리 및 테넌트 포털에 인증하는 방법을 보여 주는 샘플 SampleAuthApplication이 포함되어 있습니다. Azure 팩 및 인증 Windows 대한 자세한 내용은 다음을 참조하세요https://go.microsoft.com/fwlink/?LinkId=331159.
개요
Windows Azure Pack 관리 계층은 광범위한 REST API와 관리 관리 구성 요소를 제어하고 운영하기 위한 프로그래밍 방식의 액세스를 제공하는 다양한 Windows PowerShell cmdlet을 제공합니다. 이러한 API 및 cmdlet을 사용하려면 신뢰할 수 있는 원본에서 서명한 보안 토큰을 제공하여 호출자를 인증해야 합니다. 클레임 기반 인증에서 이 토큰은 STS(보안 토큰 서비스)라고 하는 외부 엔터티에서 제공됩니다. 신뢰 당사자(RP)라고 하는 Windows Azure Pack과 STS가 보안 토큰에 서명하고 Windows Azure Pack이 토큰의 신뢰성을 확인할 수 있도록 허용하는 STS 간에 트러스트 관계가 설정됩니다. STS가 토큰을 발급하려면 먼저 사용자의 ID를 확인해야 합니다. 이 작업은 다른 신뢰할 수 있는 STS(페더레이션의 경우)에서 신뢰할 수 있는 서명된 토큰을 수신하여 사용자의 ID를 보장하여 수행할 수 있습니다. 또는 사용자와 상호 작용하고 ID를 인증하는 방법을 알고 있는 IdP(ID 공급자)라는 엔터티를 참조하여 수행할 수 있습니다.
Windows Azure Pack 배포에서 다른 토폴로지 생성이 가능합니다.
예제 - 1
테넌트에 대한 관리 포털은 Windows Azure 팩 테넌트(멤버 자격) 인증 사이트를 신뢰하도록 구성할 수 있으며 관리자용 관리 포털은 Windows Windows(Azure Pack 관리) 인증 사이트를 신뢰하도록 구성할 수 있습니다. 이 예제에서는 Windows Azure Pack 테넌트(멤버 자격) 인증 사이트가 IdP/STS 역할을 합니다. IdP는 멤버 자격 저장소에 대해 사용자 이름 및 암호를 확인할 수 있고 STS이므로 사용자 ID를 확인한 후 사용자를 식별하는 보안 토큰을 발급하고 서명할 수 있기 때문입니다. 관리 인증 사이트에도 적용됩니다.
예제 - 2
관리자용 관리 포털 및 테넌트용 관리 포털은 Windows Server 2012 R2(AD FS 2.0)의 Active Directory Federation Services 2.0을 신뢰하도록 구성할 수 있습니다. 프로덕션 시나리오에 권장되는 토폴로지입니다.
AD FS 2.0을 구성하여 AD(Active Directory) 자격 증명으로 사용자를 인증할 수 있습니다. 이 시나리오에서 AD는 IdP 역할을 하고 AD FS 2.0은 STS 역할을 합니다. 함께 IDP/STS 기능을 구성합니다.
외부 STS와 페더레이션하도록 AD FS 2.0을 구성할 수 있습니다. 이 시나리오에서 AD FS 2.0은 STS 역할을 수행합니다.
Windows Azure Pack과 최종 IDP 간의 신뢰 체인은 매우 길 수 있습니다. 체인은 Windows Azure 팩(RP)과 최종 IdP 사이에 무제한의 STS를 포함할 수 있습니다.
사용자를 인증하려면 사용자가 마지막 IDP/STS로 이동하여 자격 증명을 제공해야 합니다. 그 대가로 토큰을 가져옵니다. 토큰은 트러스트 체인의 모든 STS에서 새 토큰으로 교환되어야 하며 마지막으로 마지막 STS에서 발급한 토큰을 Windows Azure Pack에 표시할 수 있습니다.
지원되는 ID 공급자
Windows Azure Pack을 사용하면 다음 조건을 충족할 수 있는 모든 STS를 사용할 수 있습니다.
지원 WS-Federation
페더레이션 메타데이터 엔드포인트 노출
최소한 'UPN' 및 선택적으로 '그룹' 클레임을 사용하여 JWT 토큰을 생성할 수 있어야 합니다.
중요
이는 체인의 첫 번째 STS(Windows Azure Pack에 가장 가깝습니다)에만 적용됩니다. 체인의 추가 노드에는 이러한 요구 사항이 필요하지 않습니다. 트러스트 체인의 이전 및 다음 노드와 상호 작용할 수 있어야 합니다.
타사 ID 공급자의 사용 예는 Windows Azure Pack 타사 ID 공급자에 설명되어 있습니다.
기본 제공 Windows Windows Server용 Azure 팩은 두 종류의 STS와 함께 제공됩니다.
테넌트 인증 사이트
관리 인증 사이트
Windows Server 2012 R2용 Active Directory Federation Services 2.0을 사용하여 Windows Azure Pack에 ID를 제공할 수 있습니다. 이전 버전의 AD FS는 JWT 토큰을 생성하지 않으므로 호환되지 않습니다. Windows Azure 팩 설치 가이드에는 AD FS 2.0을 Windows Azure Pack과 페더레이션하는 방법에 대한 자세한 정보가 있습니다. 타사 ID 공급자를 사용하여 AD FS와 페더레이션하여 Azure Pack을 Windows ID를 제공할 수 있습니다.
AD FS 2.0을 구성하고 Azure 팩을 Windows 방법에 대한 자세한 내용은 다음을 참조하세요https://technet.microsoft.com/en-us/library/dn296436.aspx.
테넌트 인증 사이트
테넌트 인증 사이트는 ASP.Net 멤버 자격 공급자 기반 idP/STS입니다. 테넌트 사용자는 로그인 페이지에 자신의 사용자 이름과 암호를 입력합니다. 그런 다음 ASP.Net 멤버 자격 공급자 데이터베이스에서 확인됩니다. 멤버 자격 공급자에는 사용자의 유효성을 검사하고 권한 있는 사용자에 대해 서명된 JWT 보안 토큰을 발급할 수 있는 STS 헤드가 있습니다. WS-Federation 프로토콜: 수동 요청자 프로필 XE " WS-Federation 프로토콜: 수동 요청자 프로필"(브라우저를 통한 인증) 및 WS-Trust 프로토콜: 활성 요청자 프로필 XE "WS-Trust 프로토콜: 활성 요청자 프로필"(스마트 클라이언트를 통한 인증)을 지원합니다.
관리 인증 사이트
관리 인증 사이트는 현재 로그온한 사용자의 자격 증명을 선택하고 권한 있는 사용자를 위해 서명된JWT 보안 토큰을 발급하는 Kerberos/NTLM(Windows 인증) 기반 STS입니다. 수동 흐름(브라우저를 통한 인증) 및 활성 흐름에 대한 WS-Trust 프로토콜(스마트 클라이언트를 통한 인증)에 대한 WS-Fed 프로토콜을 지원합니다.
경고
이론적으로는 이러한 두 STS를 서로 바꿔 사용할 수 있지만 관리 및 테넌트 인증 사이트는 각각 관리 및 테넌트 사이트에만 사용해야 합니다. 이 배열을 상호 교환하면 테넌트 시나리오가 중단됩니다. 프로덕션 배포 시나리오에서는 AD FS를 사용하는 것이 좋습니다.