ADFS의 장치 인증 제어
다음 문서에서는 Windows Server 2016 및 2012 R2에서 디바이스 인증 제어를 사용하도록 설정하는 방법을 보여 줍니다.
AD FS 2012 R2의 장치 인증 컨트롤
원래 AD FS 2012 R2에는 장치 인증을 제어하는 DeviceAuthenticationEnabled
이라는 전역 인증 속성이 하나 있었습니다.
설정을 구성하기 위해 아래와 같이 Set-AdfsGlobalAuthenticationPolicy
cmdlet을 사용했습니다:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
장치 인증을 사용하지 않도록 설정하기 위해 동일한 cmdlet을 사용하여 값을 $false로 설정했습니다.
AD FS 2016의 장치 인증 제어
2012 R2에서 지원되는 유일한 장치 인증 유형은 클라이언트TLS였습니다. AD FS 2016에는 클라이언트TLS 외에도 최신 디바이스 인증을 위한 두 가지 새로운 유형의 디바이스 인증이 추가되었습니다. 이는 다음과 같습니다.
- PKeyAuth
- PRT
새로운 동작을 제어하기 위해 DeviceAuthenticationEnabled
프로퍼티는 DeviceAuthenticationMethod
라는 새로운 프로퍼티와 함께 사용됩니다.
장치 인증 방법에 따라 수행될 장치 인증 유형이 결정됩니다: PRT, PKeyAuth, clientTLS 또는 일부 조합입니다. 다음과 같은 값이 있습니다.
- SignedToken: PRT 전용
- PKeyAuth: PRT + PKeyAuth
- ClientTLS: PRT + clientTLS
- All: 위의 모든 항목
보시다시피 PRT는 모든 장치 인증 방법의 일부이므로 DeviceAuthenticationEnabled
을 $true
로 설정하면 항상 활성화되는 기본 방법이 됩니다.
예제: 메서드를 구성하려면 새 속성과 함께 위와 같이 DeviceAuthenticationEnabled cmdlet을 사용합니다:
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationEnabled $true
참고 항목
AD FS 2019에서는 DeviceAuthenticationMethod
을 Set-AdfsRelyingPartyTrust
명령과 함께 사용할 수 있습니다.
PS:\>Set-AdfsRelyingPartyTrust -DeviceAuthenticationMethod ClientTLS
참고 항목
기기 인증을 활성화(DeviceAuthenticationEnabled
에서 $true
로 설정)하면 DeviceAuthenticationMethod
이 암시적으로 SignedToken
로 설정되며, 이는 PRT에 해당합니다.
PS:\>Set-AdfsGlobalAuthenticationPolicy –DeviceAuthenticationMethod All
참고 항목
기본 장치 인증 방법은 SignedToken
입니다. 다른 값은 PKeyAuth, ClientTLS 및 All입니다.
DeviceAuthenticationMethod
값의 의미는 AD FS 2016이 출시된 이후 약간 변경되었습니다. 업데이트 수준에 따른 각 값의 의미는 아래 표를 참조하세요:
AD FS 버전 | DeviceAuthenticationMethod 값 | Means |
---|---|---|
2016 RTM | SignedToken | PRT + PkeyAuth |
clientTLS | clientTLS | |
모두 | PRT + PkeyAuth + clientTLS | |
2016 RTM + Windows 업데이트 최신 버전 | SignedToken(의미 변경) | PRT(전용) |
PkeyAuth(신규) | PRT + PkeyAuth | |
clientTLS | PRT + clientTLS | |
모두 | PRT + PkeyAuth + clientTLS |