SharePoint Server 2010에서 AD FS v 2.0을 구성하는 방법

  • 아티클

 

적용 대상: SharePoint Foundation 2010, SharePoint Server 2010

마지막으로 수정된 항목: 2016-12-08

이 문서에서는 Microsoft SharePoint Server 2010에서 AD FS(Active Directory Federation Services)를 구성하는 절차에 대해 설명합니다.

Windows Server 2008 운영 체제에서 AD FS(Active Directory Federation Services) 2.0을 사용하면 조직 및 플랫폼의 경계를 뛰어넘어 분산형 ID, 인증 및 권한 부여 서비스를 웹 기반 응용 프로그램으로 확장하는 페더레이션 ID 관리 솔루션을 작성할 수 있습니다. AD FS 2.0을 배포하면 조직의 기존 ID 관리 기능을 인터넷으로 확장할 수 있습니다.

이 문서에서는 IP-STS(보안 토큰 서비스)라고도 하는 AD FS v2가 ID 공급자입니다. AD FS를 사용하려면 먼저 신뢰 당사자(여기서는 SharePoint Server 2010)의 정보를 사용하여 AD FS를 구성해야 합니다. Microsoft SharePoint 2010 제품 측면에서 볼 때는 클레임 기반 매핑을 보내는 IT-STS를 신뢰하도록 AD FS를 구성해야 합니다. 마지막으로, 클레임 기반 인증 수준을 사용할 웹 응용 프로그램 및 사이트 모음을 만듭니다.

참고

이 문서의 절차를 수행하기 전에 AD FS(Active Directory Federation Services) 2.0을 실행하는 서버를 설치 및 구성해야 합니다. AD FS 2.0을 실행하도록 서버를 구성하는 방법에 대한 자세한 내용은 AD FS 2.0 배포 가이드(영문일 수 있음)(https://go.microsoft.com/fwlink/?linkid=191723&clcid=0x412)(영문일 수 있음)를 참조하십시오.

다음 비디오에서는 Microsoft SharePoint Server 2010에서 AD FS(Active Directory Federation Services)를 구성하는 단계별 프로세스를 보여 줍니다.

SharePoint Server 2010용 AD FS 구성

실행 시간: 9:43

비디오 재생 "AD FS 신뢰할 수 있는 클레임을 사용하여 SharePoint Server 2010 구성" 비디오 보기(영문일 수 있음)

비디오 다운로드비디오 시청 환경을 최적화하려면 "AD FS 신뢰할 수 있는 클레임을 사용하여 SharePoint Server 2010 구성" 비디오를 다운로드(영문일 수 있음)하십시오.

복사본을 다운로드하려면 링크를 마우스 오른쪽 단추로 클릭한 다음 다른 이름으로 대상 저장을 클릭합니다. 링크를 클릭하면 .wmv 파일이 고해상도 보기로 기본 비디오 뷰어에서 열립니다.

이 문서의 내용

  • 신뢰 당사자 구성

  • 클레임 규칙 구성

  • 토큰 서명 인증서 내보내기

  • 여러 상위 인증서 내보내기

  • Windows PowerShell을 사용하여 토큰 서명 인증서 가져오기

  • Windows PowerShell을 사용하여 클레임 매핑의 고유 식별자 정의

  • 새 인증 공급자 만들기

  • 웹 응용 프로그램을 신뢰할 수 있는 ID 공급자에 연결

  • 사이트 모음 만들기

참고

이 문서의 단계는 여기에 나와 있는 순서대로 완료해야 합니다.

신뢰 당사자 구성

이 섹션의 절차에 따라 신뢰 당사자를 구성합니다. 신뢰 당사자는 AD FS에서 신뢰 당사자를 인식하고 신뢰 당사자에 대해 클레임을 발급하는 방법을 정의합니다.

신뢰 당사자를 구성하려면

  1. 이 절차를 수행하는 사용자 계정이 로컬 컴퓨터에서 Administrators 그룹의 구성원인지 확인합니다. 계정 및 그룹 구성원 자격에 대한 자세한 내용은 Local and Domain Default Groups을 참조하십시오.

  2. AD FS(Active Directory Federation Services) 2.0 관리 콘솔을 엽니다.

  3. 왼쪽 창에서 Trust Relationships(트러스트 관계)를 확장하고 Relying Party Trusts(신뢰 당사자 트러스트) 폴더를 두 번 클릭합니다.

  4. 오른쪽 창에서 Add Relying Party Trust(신뢰 당사자 트러스트 추가)를 클릭합니다. 그러면 AD FS(Active Directory Federation Services) 2.0 구성 마법사가 열립니다.

  5. Welcome to the Add Relying Party Trust Wizard(신뢰 당사자 트러스트 추가 마법사 시작) 페이지에서 Start(시작)를 클릭합니다.

  6. Enter data about the relying party manually(신뢰 당사자에 대한 데이터를 수동으로 입력)를 선택하고 Next(다음)를 클릭합니다.

  7. 신뢰 당사자 이름을 입력하고 Next(다음)를 클릭합니다.

  8. Active Directory Federation Services (AD FS) 2.0 Profile(AD FS(Active Directory Federation Services) 2.0 프로필)이 선택되어 있는지 확인하고 Next(다음)를 클릭합니다.

  9. 암호화 인증서는 사용하지 마십시오. Next(다음)를 클릭합니다.

  10. Enable support for the WS-Federation Passive protocol(WS-Federation 수동 프로토콜 지원 사용) 확인란을 클릭하여 선택합니다.

  11. WS-Federation Passive protocol URL(WS-Federation 수동 프로토콜 URL) 필드에 웹 응용 프로그램 URL의 이름을 입력하고 https://WebAppName/_trust/와 같이 /_trust/를 추가한 후에 Next(다음)를 클릭합니다.

    참고

    URL 이름에는 SSL(Secure Socket Layer)을 사용해야 합니다.

  12. 신뢰 당사자 트러스트 식별자의 이름을 urn:sharepoint:WebAppName과 같이 입력하고 Add(추가), Next(다음)를 클릭합니다.

  13. Permit all users to access this relying party(모든 사용자가 이 신뢰 당사자에 액세스하도록 허용)를 클릭하고 Next(다음)를 클릭합니다.

  14. Ready to Add Trust(트러스트 추가 준비) 페이지에서는 작업을 수행할 필요가 없으므로 Next(다음)를 클릭합니다.

  15. Finish(마침) 페이지에서 Close(닫기)를 클릭하면 규칙 편집기 관리 콘솔이 열립니다. 이 콘솔을 사용하여 LDAP 웹 응용 프로그램에서 SharePoint Server 2010으로의 클레임 매핑을 구성합니다.

클레임 규칙 구성

이 단계의 절차에 따라 LDAP(Lightweight Directory Access Protocol) 특성 값을 클레임으로 보내고 특성이 나가는 클레임 유형에 매핑되는 방법을 지정합니다.

클레임 규칙을 구성하려면

  1. 이 절차를 수행하는 사용자 계정이 로컬 컴퓨터에서 Administrators 그룹의 구성원인지 확인합니다. 계정 및 그룹 구성원 자격에 대한 자세한 내용은 Local and Domain Default Groups을 참조하십시오.

  2. Issuance Transform Rules(발급 변환 규칙) 탭에서 Add Rule(규칙 추가)을 클릭합니다.

  3. Select Rule Template(규칙 서식 파일 선택) 페이지에서 Send LDAP Attributes as Claims(LDAP 특성을 클레임으로 보내기)를 선택하고 Next(다음)를 클릭합니다.

  4. Configure Rule(규칙 구성) 페이지의 Claim rule name(클레임 규칙 이름) 필드에 클레임 규칙의 이름을 입력합니다.

  5. Attribute Store(특성 저장소) 드롭다운 목록에서 Active Directory를 선택합니다.

  6. Mapping of LDAP attributes to outgoing claim types(나가는 클레임 유형에 대한 LDAP 특성 매핑) 섹션의 LDAP Attribute(LDAP 특성)에서 E-Mail Addresses(전자 메일 주소)를 선택합니다.

  7. Outgoing Claim Type(나가는 클레임 유형)에서 E-Mail Address(전자 메일 주소)를 선택합니다.

  8. LDAP Attribute(LDAP 특성)에서 Token Groups-Unqualified Names(토큰 그룹-비정규화된 이름)를 선택합니다.

  9. Outgoing Claim Type(나가는 클레임 유형)에서 Role(역할)을 선택합니다.

  10. Finish(마침)를 클릭하고 OK(확인)를 클릭합니다.

토큰 서명 인증서 내보내기

이 섹션의 절차에 따라 트러스트 관계를 설정할 AD FS 서버의 토큰 서명 인증서를 내보낸 다음, SharePoint Server 2010에서 액세스할 수 있는 위치로 인증서를 복사합니다.

토큰 서명 인증서를 내보내려면

  1. 이 절차를 수행하는 사용자 계정이 로컬 컴퓨터에서 Administrators 그룹의 구성원인지 확인합니다. 계정 및 그룹 구성원 자격에 대한 자세한 내용은 Local and Domain Default Groups을 참조하십시오.

  2. AD FS(Active Directory Federation Services) 2.0 관리 콘솔을 엽니다.

  3. 왼쪽 창에서 Service(서비스)를 클릭하여 확장하고 Certificates(인증서) 폴더를 클릭합니다.

  4. Token signing(토큰 서명)에서 Primary(기본) 열에 나와 있는 기본 토큰 인증서를 클릭합니다.

  5. 오른쪽 창에서 View Certificate(인증서 보기) 링크를 클릭합니다. 그러면 인증서의 속성이 표시됩니다.

  6. Details(세부 정보) 탭을 클릭합니다.

  7. Copy to File(파일에 복사)을 클릭합니다. 그러면 Certificate Export Wizard(인증서 내보내기 마법사)가 시작됩니다.

  8. Welcome to the Certificate Export Wizard(인증서 내보내기 마법사 시작) 페이지에서 Next(다음)를 클릭합니다.

  9. Export Private Key(개인 키 내보내기) 페이지에서 No, do not export the private key(아니요, 개인 키를 내보내지 않습니다. )를 클릭하고 Next(다음)를 클릭합니다.

  10. Export File Format(파일 내보내기 형식) 페이지에서 DER encoded binary X.509 (.CER)(DER로 인코딩된 X.509 바이너리(.CER))를 선택하고 Next(다음)를 클릭합니다.

  11. File to Export(내보낼 파일) 페이지에서 내보낼 파일의 이름과 위치를 입력하고 Next(다음)를 클릭합니다. 예를 들어 C:\ADFS.cer을 입력합니다.

  12. Completing the Certificate Export Wizard(인증서 내보내기 마법사 완료) 페이지에서 Finish(마침)를 클릭합니다.

여러 상위 인증서 내보내기

AD FS 서버 구성을 완료하려면 AD FS를 실행하는 컴퓨터에 .CER 파일을 복사합니다.

토큰 서명 인증서의 체인에는 하나 이상의 상위 인증서가 있을 수 있습니다. 이 경우 해당 체인의 모든 인증서를 신뢰할 수 있는 루트 기관의 SharePoint Server 목록에 추가해야 합니다.

하나 이상의 상위 인증서가 있는지 확인하려면 다음 단계를 수행합니다.

참고

이 단계를 반복하여 루트 기관 인증서까지 모든 인증서를 내보내야 합니다.

여러 상위 인증서를 내보내려면

  1. 이 절차를 수행하는 사용자 계정이 로컬 컴퓨터에서 Administrators 그룹의 구성원인지 확인합니다. 계정 및 그룹 구성원 자격에 대한 자세한 내용은 Local and Domain Default Groups을 참조하십시오.

  2. AD FS(Active Directory Federation Services) 2.0 관리 콘솔을 엽니다.

  3. 왼쪽 창에서 Service(서비스)를 클릭하여 확장하고 Certificates(인증서) 폴더를 클릭합니다.

  4. Token signing(토큰 서명)에서 Primary(기본) 열에 나와 있는 기본 토큰 인증서를 클릭합니다.

  5. 오른쪽 창에서 View Certificate(인증서 보기) 링크를 클릭합니다. 그러면 인증서의 속성이 표시됩니다.

  6. Certification(인증) 탭을 클릭합니다.

    그러면 체인의 다른 인증서가 표시됩니다.

  7. Details(세부 정보) 탭을 클릭합니다.

  8. Copy to File(파일에 복사)을 클릭합니다. 그러면 Certificate Export Wizard(인증서 내보내기 마법사)가 시작됩니다.

  9. Welcome to the Certificate Export Wizard(인증서 내보내기 마법사 시작) 페이지에서 Next(다음)를 클릭합니다.

  10. Export Private Key(개인 키 내보내기) 페이지에서 No, do not export the private key(아니요, 개인 키를 내보내지 않습니다. )를 클릭하고 Next(다음)를 클릭합니다.

  11. Export File Format(파일 내보내기 형식) 페이지에서 DER encoded binary X.509 (.CER)(DER로 인코딩된 X.509 바이너리(.CER))를 선택하고 Next(다음)를 클릭합니다.

  12. File to Export(내보낼 파일) 페이지에서 내보낼 파일의 이름과 위치를 입력하고 Next(다음)를 클릭합니다. 예를 들어 C:\ADFS.cer을 입력합니다.

  13. Completing the Certificate Export Wizard(인증서 내보내기 마법사 완료) 페이지에서 Finish(마침)를 클릭합니다.

Windows PowerShell을 사용하여 토큰 서명 인증서 가져오기

이 섹션의 절차에 따라 SharePoint 서버에 있는 신뢰할 수 있는 루트 기관 목록으로 토큰 서명 인증서를 가져옵니다. 체인의 모든 토큰 서명 인증서에 대해 루트 인증 기관까지 이 단계를 반복해야 합니다.

Windows PowerShell을 사용하여 토큰 서명 인증서를 가져오려면

  1. 최소 요구 사항을 충족하는지 확인합니다. 즉, Add-SPShellAdmin을 참조하십시오.

  2. 시작 메뉴에서 모든 프로그램을 클릭합니다.

  3. Microsoft SharePoint 2010 Products를 클릭합니다.

  4. SharePoint 2010 관리 셸을 클릭합니다.

  5. Windows PowerShell 명령 프롬프트에서 다음과 같은 구문을 사용하여 인증서의 상위 인증서(루트 기관 인증서)를 가져옵니다.

    $root = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfsParent.cer")

New-SPTrustedRootAuthority -Name "Token Signing Cert Parent" -Certificate $root

  6. Windows PowerShell 명령 프롬프트에서 다음과 같은 구문을 사용하여 AD FS 서버로부터 복사한 토큰 서명 인증서를 가져옵니다.

    $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\adfs.cer ")

New-SPTrustedRootAuthority -Name "Token Signing Cert" -Certificate $cert

New-SPTrustedRootAuthority cmdlet에 대한 자세한 내용은 New-SPTrustedRootAuthority를 참조하십시오.

Windows PowerShell을 사용하여 클레임 매핑의 고유 식별자 정의

이 섹션의 절차에 따라 클레임 매핑의 고유 식별자를 정의합니다. 일반적으로 이 정보는 전자 메일 주소 형식으로 되어 있으며, 사용자별로 항상 고유한 클레임 유형은 STS의 소유자만 알고 있기 때문에 일반적으로 신뢰할 수 있는 STS의 관리자가 이 정보를 제공해야 합니다.

Windows PowerShell을 사용하여 클레임 매핑의 고유 식별자를 정의하려면

  1. 최소 요구 사항을 충족하는지 확인합니다. 즉, Add-SPShellAdmin을 참조하십시오.

  2. 시작 메뉴에서 모든 프로그램을 클릭합니다.

  3. Microsoft SharePoint 2010 Products를 클릭합니다.

  4. SharePoint 2010 관리 셸을 클릭합니다.

  5. Windows PowerShell 명령 프롬프트에서 다음과 같은 구문을 사용하여 ID 클레임 매핑을 만듭니다.

    $map = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress" -IncomingClaimTypeDisplayName "EmailAddress" -SameAsIncoming

  6. Windows PowerShell 명령 프롬프트에서 다음과 같은 구문을 사용하여 역할 클레임 매핑을 만듭니다.

    $map2 = New-SPClaimTypeMapping -IncomingClaimType "https://schemas.microsoft.com/ws/2008/06/identity/claims/role" -IncomingClaimTypeDisplayName "Role" -SameAsIncoming

New-SPClaimTypeMapping cmdlet에 대한 자세한 내용은 New-SPClaimTypeMapping을 참조하십시오.

새 인증 공급자 만들기

이 섹션의 절차에 따라 새 SPTrustedIdentityTokenIssuer를 만듭니다.

Windows PowerShell을 사용하여 새 인증 공급자를 만들려면

  1. 최소 요구 사항을 충족하는지 확인합니다. 즉, Add-SPShellAdmin을 참조하십시오.

  2. 시작 메뉴에서 모든 프로그램을 클릭합니다.

  3. Microsoft SharePoint 2010 Products를 클릭합니다.

  4. SharePoint 2010 관리 셸을 클릭합니다.

  5. Windows PowerShell 명령 프롬프트에서 다음과 같은 구문을 사용하여 새 인증 공급자를 만듭니다.

    참고

    $realm 변수는 특정 SharePoint 팜을 식별하는 신뢰할 수 있는 STS를 정의하며, $cert 변수는 Windows PowerShell을 사용하여 토큰 서명 인증서 가져오기 섹션에서 사용했던 항목입니다. SignInUrl 매개 변수는 AD FS 서버에 적용됩니다.

    $realm = "urn:sharepoint:WebAppName"

$ap = New-SPTrustedIdentityTokenIssuer -Name "SAML Provider" -Description "SharePoint secured by SAML" -realm $realm -ImportTrustCertificate $cert -ClaimsMappings $map,$map2 -SignInUrl "https://congen1.contoso.local/adfs/ls" -IdentifierClaim "https://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress"

New-SPTrustedIdentityTokenIssuer cmdlet에 대한 자세한 내용은 New-SPTrustedIdentityTokenIssuer를 참조하십시오.

웹 응용 프로그램을 신뢰할 수 있는 ID 공급자에 연결

SAML 로그인을 사용하도록 기존 웹 응용 프로그램을 구성하려면 클레임 인증 유형 섹션에서 신뢰할 수 있는 ID 공급자를 수정해야 합니다.

SAML 공급자를 사용하도록 기존 웹 응용 프로그램을 구성하려면

  1. 이 절차를 수행하는 사용자 계정이 Farm Administrators SharePoint 그룹의 구성원인지 확인합니다.

  2. 중앙 관리의 홈 페이지에서 응용 프로그램 관리를 클릭합니다.

  3. 응용 프로그램 관리 페이지의 웹 응용 프로그램 섹션에서 웹 응용 프로그램 관리를 클릭합니다.

  4. 적절한 웹 응용 프로그램을 클릭하여 선택합니다.

  5. 리본 메뉴에서 인증 공급자를 클릭합니다.

  6. 영역에서 영역의 이름(예: 기본값)을 클릭합니다.

  7. 인증 편집 페이지의 클레임 인증 유형 섹션에서 새 신뢰할 수 있는 ID 공급자 이름의 확인란을 클릭하여 선택합니다.

웹 응용 프로그램을 만들고 SAML 로그인을 사용하도록 구성해야 하는 경우 새 SharePoint 웹 응용 프로그램을 만들고 SAML 로그인을 사용하도록 구성을 참조하십시오.

사이트 모음 만들기

마지막 단계에서는 SharePoint 사이트 모음을 만들고 소유자를 지정합니다. 사이트 모음 관리자를 추가할 때는 ID 클레임 형식으로 이름을 입력해야 합니다. 예를 들어 이 문서에서 ID 클레임은 전자 메일 주소입니다. 자세한 내용은 사이트 모음 만들기(SharePoint Server 2010)를 참조하십시오.