AD FS(Active Directory Federated Services) 구성

AD FS를 구성하려면 Windows 플랫폼의 서비스 관리에 대한 상세한 지식이 필요합니다. AD FS는 Windows Server 2012 R2에서 작동하지만 다른 버전에서는 테스트하지 않았습니다.

다음 지침은 예시로 제공된 것이며 특정 상황에 따라 필요한 부분이 달라질 수 있습니다.
  1. Windows Server에서 Microsoft 관리 콘솔(mmc.exe)을 열고 AD FS 관리 도구 스냅인을 추가합니다. 신뢰 당사자 트러스트 추가...(Add Relying Party Trust...)를 클릭합니다.
     
    예시 앱 이전

  2. 시작(Start)을 클릭합니다.
     
    신뢰 당사자 트러스트 추가 시작

  3. 신뢰 당사자에 대한 데이터를 수동으로 입력(Enter data about the relying party manually) 라디오 버튼을 선택하고 다음(Next)을 누릅니다.
     
    신뢰 당사자 트러스트 추가 데이터 소스 선택

  4. 응용프로그램 이름을 입력하고 다음(Next)을 누릅니다.
     
    신뢰 당사자 트러스트 표시 이름 지정

  5. AD FS 프로파일(AD FS Profile)을 선택하고 다음(Next)을 누릅니다.
     
    신뢰 당사자 트러스트 추가 프로파일 선택

  6. 필요에 따라 암호화 인증서를 선택하고 다음(Next)을 누릅니다.
     
    신뢰 당사자 트러스트 추가 인증서 구성

  7. AD FS가 클레임을 보내야 하는 URL을 입력하고 다음(Next)을 누릅니다.
     
        https://사용자 사이트 URL/saml/saml_login_response
     
    신뢰 당사자 트러스트 추가 URL 구성

  8. 신뢰 당사자 트러스트 식별자의 URL을 입력하고 추가(Add)를 누릅니다.
     
        https://사용자 사이트 URL/saml/metadata
     
    신뢰 당사자 트러스트 추가 식별자 입력 구성

  9. 다음(Next)을 누릅니다.  
    신뢰 당사자 트러스트 추가 식별자 추가 구성

  10. 필요에 따라 다중 인증(MFA)을 구성하고 다음(Next)을 누릅니다.
     
    신뢰 당사자 트러스트 추가 MFA

  11. 발급 인증 규칙을 구성하고 다음(Next)을 누릅니다.
     
    신뢰 당사자 트러스트 추가 인증 규칙

  12. 새 구성을 검토하고 다음(Next)을 누릅니다.
     
    신뢰 당사자 트러스트 추가 정보 검토

  13. 마무리하고 클레임 규칙 편집으로 진행합니다.
     
    신뢰 당사자 트러스트 추가 마침

  14. 클레임 규칙 편집기에서 규칙 추가...(Add Rule...)를 클릭합니다.
     
    클레임 규칙 편집 비어 있음

  15. 들어오는 클레임 변환(Transform an Incoming Claim)을 선택하고 다음(Next)을 누릅니다.
     
    클레임 규칙 편집 규칙 추가 들어오는 클레임 변환

  16. 규칙 이름(예: NameId)을 입력하고 Windows 계정 이름(Windows account name) 클레임 유형을 선택한 다음, 나가는 클레임 유형으로 이름 ID(Name ID)를 설정한 후 임시 식별자(Transient Identifier) ID 형식을 선택합니다. 그런 다음 마침(Finish)을 클릭합니다.
     
    클레임 규칙 편집 이름 ID 추가

  17. 클레임 규칙 편집기로 돌아가서 규칙 추가...(Add Rule...)를 클릭합니다.
     
    클레임 규칙 편집 이름 ID

  18. LDAP 속성을 클레임으로 보내기(Send LDAP Attributes as Claims)를 선택하고 다음(Next)을 누릅니다.
     
    클레임 규칙 편집 규칙 추가 LDAP 속성을 클레임으로 보내기

  19. 규칙 이름(예: User Informations)을 입력하고 속성 저장소(Active Directory)를 선택한 다음 이름(Given-Name), 성(Surname)이메일 주소(E-Mail-Addesses), SAM 계정 이름(SAM-Account-Name)에 대한 매핑을 각각 이름(firstname), 성(lastname), 이메일(email)로그인 ID(login_id)에 추가합니다. 그런 다음 마침(Finish)을 클릭합니다. (중요: Windows 로그인을 login_id로 사용하지만 이메일 등 다른 고유 값을 선택할 수 있습니다.)

    Screen_Shot_2019-06-18_at_2.05.13_PM.png

  20. 클레임 규칙 편집기로 돌아가서 마지막으로 규칙 추가...(Add Rule...)를 한 번 더 클릭합니다.
     
    클레임 규칙 편집 사용자 정보

  21. 커스텀 규칙을 사용하여 클레임 보내기(Send Claims Using a Custom Rule)를 선택하고 다음(Next)을 누릅니다.
     
    클레임 규칙 편집 규칙 추가 커스텀 규칙을 사용하여 클레임 보내기

  22. 규칙 이름(예: 액세스(access))을 입력하고 다음 커스텀 규칙을 입력합니다.
        => issue(Type = "access", Value = "true");
     
    이 예에서는 모든 사람이 Shotgun에 액세스할 수 있도록 허용합니다. 다른 규칙을 원할 수도 있습니다.
     
    그런 다음 마침(Finish)을 클릭합니다.
     
    클레임 규칙 편집 액세스 추가

  23. 이러한 클레임을 통해 Shotgun에서 요구하는 최소한의 정보를 표시합니다. 확인(OK)을 클릭합니다.
     
    클레임 규칙 편집 액세스

  24. 이제 Shotgun에서 SSO 설정을 테스트할 수 있습니다. 그룹(groups) 클레임의 경우 조직별 정보에서 커스텀 규칙을 구성하도록 요구하기 때문에 생략했습니다.
     
    앱 최종 예

  25. Shotgun 관리자에게 SSO 구성을 제공합니다. 일반적으로 다음과 같이 나타납니다.
        SAML 2.0 엔드포인트(HTTPS): https://YOUR_ADFS_SERVER/adfs/ls
        ID 공급자 발급자: http://YOUR_ADFS_SERVER/adfs/services/trust
    환경에 따라 URL에 http 또는 https가 사용될 수 있습니다. SAML 인증 테스트 링크(사이트 기본 설정(Site Preferences) -> 인증(Authentication) 섹션에 있음)는 Shotgun의 값과 예상 값 사이의 불일치가 있는지 여부를 알려줍니다. 쉽게 수정할 수 있어야 합니다.

    공용 인증서의 경우 다음에서 페더레이션 메타데이터를 다운로드할 수 있습니다.
        https://YOUR_ADFS_SERVER/FederationMetada/2007-06/FederationMetadata.xml
    XML 파일에서 다음을 추출해야 합니다.
        공용 인증서: ds:Signature 섹션에 있는 X509Certificate.

 

팔로우