Windows Server 2012 R2의 AD FS에 대한 랩 환경 설정

이 항목에서는 다음 연습 가이드의 연습을 완료하는 데 사용할 수 있는 테스트 환경을 구성하는 단계에 대해 간략히 설명합니다.

• 연습: iOS 디바이스를 사용하여 작업 공간 조인

• 연습: Windows 디바이스를 사용하여 작업 공간 조인

• 연습 가이드: 조건부 액세스 제어를 사용하여 위험 관리

• 연습 가이드: 중요한 애플리케이션에 대한 추가 다단계 인증을 사용하여 위험 관리

참고 항목

웹 서버와 페더레이션 서버를 동일한 컴퓨터에 설치하지 않는 것이 좋습니다.

이 테스트 환경을 설정하려면 다음 단계를 완료합니다.

1. 1단계: do기본 컨트롤러 구성(DC1)

2. 2단계: 디바이스 등록 서비스를 사용하여 페더레이션 서버(ADFS1) 구성

3. 3단계: 웹 서버(WebServ1) 및 샘플 클레임 기반 애플리케이션 구성

4. 4단계: 클라이언트 컴퓨터 구성(Client1)

1단계: 도메인 컨트롤러(DC1) 구성

이 테스트 환경을 위해 루트 Active Directory 도메인 contoso.com 을 호출하고 pass@word1 을 관리자 암호로 지정할 수 있습니다.

• AD DS 역할 서비스를 설치하고 AD DS(Active Directory 도메인 Services)를 설치하여 Windows Server 2012 R2에서 컴퓨터를 할 일기본 컨트롤러로 만듭니다. 이 작업은 할 일기본 컨트롤러 만들기의 일부로 AD DS 스키마를 업그레이드합니다. 자세한 내용 및 단계별 지침은 참조하세요https://technet.microsoft.com/library/hh472162.aspx.

테스트 Active Directory 계정 만들기

도메인 컨트롤러가 작동하면 이 도메인에서 테스트 그룹 및 테스트 사용자 계정을 만들고 해당 사용자 계정을 그룹 계정에 추가할 수 있습니다. 이러한 계정을 사용하여 이 항목의 앞부분에 언급된 연습 가이드의 연습을 완료합니다.

다음 계정을 만듭니다.

• 사용자: Robert Hatley , 자격 증명 - 사용자 이름: RobertH 및 암호: P@ssword

• 그룹: Finance

AD(Active Directory)에서 사용자 및 그룹 계정을 만드는 방법에 대한 자세한 내용은 다음을 참조하세요 https://technet.microsoft.com/library/cc783323%28v.aspx.

Robert Hatley 계정을 Finance 그룹에 추가합니다. Active Directory의 그룹에 사용자를 추가하는 방법에 대한 자세한 내용은 다음을 참조하세요 https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx.

GMSA 계정 만들기

AD FS(Active Directory Federation Services) 설치 및 구성 중에 GMSA(그룹 관리 서비스 계정) 계정이 필요합니다.

GMSA 계정을 만들려면

1. Windows PowerShell 명령 창을 열고 다음을 입력합니다.

   Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
   New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com
   
   

2단계: Device Registration Service를 사용하여 페더레이션 서버(ADFS1) 구성

다른 가상 머신을 설정하려면 Windows Server 2012 R2를 설치하고 do기본 contoso.com 연결합니다. 할 일기본 조인한 후 컴퓨터를 설정한 다음, AD FS 역할을 설치하고 구성합니다.

비디오는 Active Directory Federation Services How-To Video Series: Installing an AD FS Server Farm(Active Directory Federation Services 방법 비디오 시리즈: AD FS 서버 팜 설치)을 참조하세요.

서버 SSL 인증서 설치

ADFS1 서버의 로컬 컴퓨터 저장소에 서버 SSL(Secure Socket Layer) 인증서를 설치해야 합니다. 인증서에는 다음 특성이 있어야 합니다.

• 주체 이름(CN): adfs1.contoso.com

• 주체 대체 이름(DNS): adfs1.contoso.com

• 주체 대체 이름(DNS): enterpriseregistration.contoso.com

SSL 인증서를 설정하는 방법에 대한 자세한 내용은 엔터프라이즈 CA를 사용하여 도메인의 웹 사이트에서 SSL/TLS 구성(영문)을 참조하세요.

Active Directory Federation Services How-To Video Series: Updating Certificates(Active Directory Federation Services 방법 비디오 시리즈: 인증서 업데이트).

AD FS 서버 역할 설치

페더레이션 서비스 역할 서비스를 설치하려면

1. do기본 관리자 계정을 사용하여 서버에 로그온합니다administrator@contoso.com.

2. 서버 관리자를 시작합니다. 서버 관리자를 시작하려면 Windows 시작 화면에서 서버 관리자 를 클릭하거나 Windows 바탕 화면의 Windows 작업 표시줄에서 서버 관리자 를 클릭합니다. 대시보드 페이지의 시작 타일에 있는 빠른 시작 탭에서 역할 및 기능 추가를 클릭합니다. 또는 관리 메뉴에서 역할 및 기능 추가 를 클릭해도 됩니다.

3. 시작하기 전 페이지에서 다음을 클릭합니다.

4. 설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치를 클릭한 다음 다음을 클릭합니다.

5. 대상 서버 선택 페이지에서 서버 풀에서 서버 선택을 클릭하고 대상 컴퓨터가 선택되어 있는지 확인한 후 다음을 클릭합니다.

6. 서버 역할 선택 페이지에서 Active Directory Federation Services를 클릭한 후 다음을 클릭합니다.

7. 기능 선택 페이지에서 다음을 클릭합니다.

8. AD FS(Active Directory Federation Service) 페이지에서 다음을 클릭합니다.

9. 설치 선택 확인 페이지에서 정보를 확인한 후 필요한 경우 자동으로 대상 서버 다시 시작 확인란을 선택하고 설치를 클릭합니다.

10. 설치 진행률 페이지에서 모든 항목이 올바르게 설치되었는지 확인하고 닫기를 클릭합니다.

페더레이션 서버 구성

다음 단계에서는 페더레이션 서버를 구성합니다.

페더레이션 서버를 구성하려면

1. 서버 관리자 대시보드 페이지에서 알림 플래그를 클릭한 다음 이 서버에 페더레이션 서비스를 구성하세요.을 클릭합니다.

   Active Directory Federation Service 구성 마법사 가 열립니다.

2. 시작 페이지에서 페더레이션 서버 팜에 첫 번째 페더레이션 서버를 만듭니다.를 선택하고 다음을 클릭합니다.

3. AD DS에 연결 페이지에서 이 컴퓨터가 가입된 contoso.com Active Directory 도메인에 대한 도메인 관리자 권한이 있는 계정을 지정하고 다음을 클릭합니다.

4. 서비스 속성 지정 페이지에서 다음을 수행한 후 다음을 클릭합니다.

   • 이전에 얻은 SSL 인증서를 가져옵니다. 이 인증서는 필수 서비스 인증 인증서입니다. SSL 인증서의 위치를 찾아봅니다.

   • 페더레이션 서비스의 이름을 제공하기 위해 adfs1.contoso.com을 입력합니다. 이 값은 AD CS(Active Directory 인증서 서비스)에 SSL 인증서를 등록할 때 지정한 것과 동일한 값입니다.

   • 페더레이션 서비스의 표시 이름을 제공하기 위해 Contoso Corporation을 입력합니다.

5. 서비스 계정 지정 페이지에서 기존 도메인 사용자 계정 또는 그룹 관리 서비스 계정 사용을 선택하고 도메인 컨트롤러를 만들 때 만든 GMSA 계정 fsgmsa 를 지정합니다.

6. 구성 데이터베이스 지정 페이지에서 Windows 내부 데이터베이스를 사용하여 이 서버에 데이터베이스를 만듭니다.를 선택하고 다음을 클릭합니다.

7. 검토 옵션 페이지에서 구성 선택 사항을 확인하고 다음을 클릭합니다.

8. 필수 조건 확인 페이지에서 모든 필수 구성 요소 검사가 성공적으로 완료되었는지 확인하고 구성을 클릭합니다.

9. 결과 페이지에서 결과를 검토하고 구성이 성공적으로 완료되었는지 확인한 다음 페더레이션 서비스 배포를 완료하는 데 필요한 다음 단계를 클릭합니다.

Device Registration Service 구성

다음 단계에서는 ADFS1 서버에서 Device Registration Service를 구성합니다. 비디오는 Active Directory Federation Services How-To Video Series: Enabling the Device Registration Service(Active Directory Federation Services 방법 비디오 시리즈: Device Registration Service 사용)를 참조하세요.

Windows Server 2012 RTM에 대한 Device Registration Service를 구성하려면

1. Important

   다음 단계는 Windows Server 2012 R2 RTM 빌드에 적용됩니다.

   Windows PowerShell 명령 창을 열고 다음을 입력합니다.

   Initialize-ADDeviceRegistration
   

   서비스 계정을 묻는 메시지가 표시되면 contoso\fsgmsa$를 입력합니다.

   이제 Windows PowerShell cmdlet을 실행합니다.

   Enable-AdfsDeviceRegistration
   

2. ADFS1 서버의 AD FS 관리 콘솔에서 인증 정책으로 이동합니다. 전역 기본 인증 편집을 선택합니다. 디바이스 인증 사용옆의 확인란을 선택하고 확인을 클릭합니다.

DNS에 호스트(A) 및 별칭(CNAME) 리소스 레코드 추가

DC1에서 다음 DNS(Domain Name System) 레코드가 Device Registration Service에 대해 만들어졌는지 확인해야 합니다.

입력	Type	주소
adfs1	호스트(A)	AD FS 서버의 IP 주소
enterpriseregistration	별칭(CNAME)	adfs1.contoso.com

다음 절차를 사용하여 페더레이션 서버 및 Device Registration Service용 회사 DNS 이름 서버에 호스트(A) 리소스 레코드를 추가할 수 있습니다.

이 절차를 완료하려면 최소한 Administrators 또는 이와 동등한 그룹 구성원 자격이 필요합니다. HYPERLINK "https://go.microsoft.com/fwlink/?LinkId=83477" 로컬 및 Do기본 기본 그룹(https://go.microsoft.com/fwlink/p/?LinkId=83477)에서 적절한 계정 및 그룹 멤버 자격을 사용하는 방법에 대한 세부 정보를 검토합니다.

페더레이션 서버에 대한 DNS에 호스트(A) 및 별칭(CNAME) 리소스 레코드를 추가하려면

1. DC1의 서버 관리자 도구 메뉴에서 DNS 를 클릭하여 DNS 스냅인을 엽니다.

2. 콘솔 트리에서 DC1과 정방향 조회 영역을 확장하고 contoso.com을 마우스 오른쪽 단추로 클릭한 후 새 호스트(A 또는 AAAA)를 클릭합니다.

3. 이름 에 AD FS 팜에 사용할 이름을 입력합니다. 이 연습에서는 adfs1을 입력합니다.

4. IP 주소에 ADFS1 서버의 IP 주소를 입력합니다. 호스트 추가를 클릭합니다.

5. contoso.com을 마우스 오른쪽 단추로 클릭하고 새 별칭(CNAME)을 클릭합니다.

6. 새 리소스 레코드 대화 상자의 별칭 이름 상자에 enterpriseregistration 을 입력합니다.

7. 대상 호스트 상자의 FQDN(정규화된 도메인 이름)에 adfs1.contoso.com을 입력하고 확인을 클릭합니다.

   Important

   실제 배포에서는 회사에 여러 UPN(사용자 계정 이름) 접미사가 있는 경우 DNS의 각 UPN 접미사마다 하나씩 여러 CNAME 레코드를 만들어야 합니다.

3단계: 웹 서버(WebServ1) 및 예제 클레임 기반 애플리케이션 구성

Windows Server 2012 R2 운영 체제를 설치하여 가상 머신(WebServ1)을 설정하고 do기본 contoso.com 연결합니다. 도메인에 가입한 후에는 웹 서버 역할 설치 및 구성을 계속 진행할 수 있습니다.

이 항목의 앞부분에 언급된 연습을 완료하려면 페더레이션 서버(ADFS1)로 보호된 예제 애플리케이션이 있어야 합니다.

이 예제 클레임 기반 애플리케이션으로 웹 서버를 설정하려면 다음 단계를 완료해야 합니다.

참고 항목

이러한 단계는 Windows Server 2012 R2 운영 체제를 실행하는 웹 서버에서 테스트되었습니다.

1. 웹 서버 역할 및 Windows Identity Foundation 설치

2. Windows Identity Foundation SDK 설치

3. IIS에서 간단한 클레임 앱 구성

4. 페더레이션 서버에서 신뢰 당사자 트러스트 만들기

웹 서버 역할 및 Windows Identity Foundation 설치

1. 참고 항목

   Windows Server 2012 R2 설치 미디어에 액세스할 수 있어야 합니다.

   사용 하 여 administrator@contoso.com WebServ1에 로그온 하 고 암호 pass@word1.

2. 서버 관리자 대시보드 페이지의 시작 타일에 있는 빠른 시작 탭에서 역할 및 기능 추가를 클릭합니다. 또는 관리 메뉴에서 역할 및 기능 추가 를 클릭해도 됩니다.

3. 시작하기 전 페이지에서 다음을 클릭합니다.

4. 설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치를 클릭한 다음 다음을 클릭합니다.

5. 대상 서버 선택 페이지에서 서버 풀에서 서버 선택을 클릭하고 대상 컴퓨터가 선택되어 있는지 확인한 후 다음을 클릭합니다.

6. 서버 역할 선택 페이지에서 웹 서버(IIS)옆의 확인란을 선택하고 기능 추가를 클릭한 후 다음을 클릭합니다.

7. 기능 선택 페이지에서 Windows Identity Foundation 3.5를 선택하고 다음을 클릭합니다.

8. 웹 서버 역할(IIS) 페이지에서 다음을 클릭합니다.

9. 역할 서비스 선택 페이지에서 애플리케이션 개발을 선택하고 확장합니다. ASP.NET 3.5를 선택하고 기능 추가를 클릭한 후 다음을 클릭합니다.

10. 설치 선택 확인 페이지에서 대체 원본 경로 지정을 클릭합니다. Windows Server 2012 R2 설치 미디어에 있는 Sxs 디렉터리의 경로를 입력합니다. 예를 들어 D:\Sources\Sxs를 입력합니다. 확인을 클릭한 다음 설치를 클릭합니다.

Windows Identity Foundation SDK 설치

1. WindowsIdentityFoundation-SDK-3.5.msi를 실행하여 Windows Identity Foundation SDK 3.5를 설치합니다. 모든 기본 옵션을 선택합니다.

IIS에서 간단한 클레임 응용 프로그램 구성

1. 컴퓨터 인증서 저장소에 유효한 SSL 인증서를 설치합니다. 인증서에는 웹 서버의 이름 webserv1.contoso.com이 포함되어야 합니다.

2. C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp의 내용을 C:\Inetpub\Claimapp에 복사합니다.

3. 클레임 필터링이 발생하지 않도록 Default.aspx.cs 파일을 편집합니다. 이 단계는 예제 애플리케이션이 페더레이션 서버에서 발급한 모든 클레임을 표시하도록 하기 위해 수행됩니다. 다음을 수행하십시오:

   1. 텍스트 편집기에서 Default.aspx.cs 를 엽니다.

   2. 파일에서 ExpectedClaims의 두 번째 인스턴스를 검색합니다.

   3. 전체 IF 문과 해당 중괄호를 주석 처리합니다. 줄의 시작 부분에 "//"(따옴표 없이)를 입력하여 주석을 나타냅니다.

   4. FOREACH 문이 다음 코드 예제와 유사하게 표시됩니다.

      Foreach (claim claim in claimsIdentity.Claims)
      {
         //Before showing the claims validate that this is an expected claim
         //If it is not in the expected claims list then don't show it
         //if (ExpectedClaims.Contains( claim.ClaimType ) )
         // {
            writeClaim( claim, table );
         //}
      }
      
      

   5. Default.aspx.cs를 저장하고 닫습니다.

   6. 텍스트 편집기에서 web.config 를 엽니다.

   7. 전체 <microsoft.identityModel> 섹션을 제거합니다. including <microsoft.identityModel> 에서 </microsoft.identityModel>(포함)까지 모든 항목을 제거합니다.

   8. web.config를 저장하고 닫습니다.

4. IIS 관리자 구성

   1. IIS(인터넷 정보 서비스) 관리자를 엽니다.

   2. 애플리케이션 풀로 이동하여 DefaultAppPool 을 마우스 오른쪽 단추로 클릭하고 고급 설정을 선택합니다. 사용자 프로필 로드 를 True로 설정하고 확인을 클릭합니다.

   3. DefaultAppPool 을 마우스 오른쪽 단추로 클릭하고 기본 설정을 선택합니다. .NET CLR 버전 을 .NET CLR Version v2.0.50727로 변경합니다.

   4. 기본 웹 사이트 를 마우스 오른쪽 단추로 클릭하여 바인딩 편집을 선택합니다.

   5. 설치한 SSL 인증서를 사용하는 포트 443 에 HTTPS 바인딩을 추가합니다.

   6. 기본 웹 사이트 를 마우스 오른쪽 단추로 클릭하여 애플리케이션 추가를 선택합니다.

   7. 별칭을 claimapp 으로 설정하고 실제 경로를 c:\inetpub\claimapp으로 설정합니다.

5. claimapp 을 페더레이션 서버와 함께 작동하도록 구성하려면 다음을 수행합니다.

   1. C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5에 있는 FedUtil.exe를 실행합니다.

   2. 애플리케이션 구성 위치를 C:\inetput\claimapp\web.config 로 설정하고 애플리케이션 URI를 사이트의 URL인 https://webserv1.contoso.com /claimapp/로 설정합니다. 다음을 클릭합니다.

   3. 기존 STS 사용을 선택하고 AD FS 서버의 메타데이터 URLhttps://adfs1.contoso.com/federationmetadata/2007-06/federationmetadata.xml로 이동합니다. 다음을 클릭합니다.

   4. 인증서 체인 유효성 검사 사용 안 함을 선택하고 다음을 클릭합니다.

   5. 암호화 없음을 선택하고 다음을 클릭합니다. 제공된 클레임 페이지에서 다음을 클릭합니다.

   6. 매일 WS-Federation 메타데이터 업데이트를 수행하도록 작업 예약옆의 확인란을 선택합니다. Finish를 클릭합니다.

   7. 이제 예제 애플리케이션이 구성되었습니다. 애플리케이션 URL https://webserv1.contoso.com/claimapp을 테스트하는 경우 페더레이션 서버로 리디렉션됩니다. 신뢰 당사자 트러스트를 구성하지 않았으므로 페더레이션 서버에 오류 메시지가 표시됩니다. 즉, AD FS에서 이 테스트 애플리케이션을 보호하지 않았습니다.

이제 AD FS를 사용하여 웹 서버에서 실행되는 샘플 애플리케이션을 보호해야 합니다. 이렇게 하려면 페더레이션 서버(ADFS1)에서 신뢰 당사자 트러스트를 추가하면 됩니다. 비디오는 Active Directory Federation Services How-To Video Series: Add a Relying Party Trust(Active Directory Federation Services 방법 비디오 시리즈: 신뢰 당사자 트러스트 추가)를 참조하세요.

페더레이션 서버에서 신뢰 당사자 트러스트 만들기

1. 페더레이션 서버(ADFS1)의 AD FS 관리 콘솔에서 신뢰 당사자 트러스트로 이동하여 신뢰 당사자 트러스트 추가를 클릭합니다.

2. 데이터 원본 선택 페이지에서 온라인 또는 로컬 네트워크에 게시된 신뢰 당사자에 대한 데이터 가져오기를 선택하고 claimapp에 대한 메타데이터 URL을 입력한 후 다음을 클릭합니다. FedUtil.exe를 실행하면 메타데이터 .xml 파일이 생성됩니다. 에 있습니다 https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml.

3. 표시 이름 지정 페이지에서 신뢰 당사자 트러스트에 대한 표시 이름claimapp을 지정하고 다음을 클릭합니다.

4. 지금 다단계 인증을 구성하시겠습니까? 페이지에서 이 신뢰 당사자 트러스트에 대한 다단계 인증 설정을 지금 지정 안 함을 선택하고 다음을 클릭합니다.

5. 발급 권한 부여 규칙 선택 페이지에서 모든 사용자가 이 신뢰 당사자에 액세스하도록 허용을 선택하고 다음을 클릭합니다.

6. 트러스트 추가 준비 페이지에서 다음을 클릭합니다.

7. 클레임 규칙 편집 대화 상자에서 규칙 추가를 클릭합니다.

8. 규칙 유형 선택 페이지에서 사용자 지정 규칙을 사용하여 클레임 보내기를 선택하고 다음을 클릭합니다.

9. 클레임 규칙 구성 페이지의 클레임 규칙 이름 상자에 All Claims를 입력합니다. 사용자 지정 규칙 상자에 다음 클레임 규칙을 입력합니다.

   c:[ ]
   => issue(claim = c);
   
   

10. 마침을 클릭한 다음 확인을 클릭합니다.

4단계: 클라이언트 컴퓨터(Client1) 구성

다른 가상 머신을 설정하고 Windows 8.1을 설치합니다. 이 가상 머신은 다른 컴퓨터와 동일한 가상 네트워크에 있어야합니다. 이 컴퓨터는 Contoso 도메인에 가입되지 않아야 합니다.

클라이언트는 Step 2: Configure the federation server (ADFS1) with Device Registration Service에서 설정한 페더레이션 서버(ADFS1)에 사용된 SSL 인증서를 신뢰해야 합니다. 또한 인증서에 대한 인증서 해지 정보의 유효성을 검사할 수 있어야 합니다.

Microsoft 계정을 설정하고 이를 사용하여 Client1에 로그온해야 합니다.

참고 항목

• Active Directory Federation Services How-To Video Series: Installing an AD FS Server Farm(Active Directory Federation Services 방법 비디오 시리즈: AD FS 서버 팜 설치)
• Active Directory Federation Services How-To Video Series: Updating Certificates(Active Directory Federation Services 방법 비디오 시리즈: 인증서 업데이트)
• Active Directory Federation Services How-To Video Series: Add a Relying Party Trust(Active Directory Federation Services 방법 비디오 시리즈: 신뢰 당사자 트러스트 추가)
• Active Directory Federation Services 방법 비디오 시리즈: 디바이스 등록 서비스 사용
• Active Directory Federation Services How-To Video Series: Installing the Web Application Proxy(Active Directory Federation Services 방법 비디오 시리즈: 웹 애플리케이션 프록시 설치)