AD FS 2019에서 타사 인증 공급자를 기본 인증으로 구성

  • 아티클

조직에서는 암호 기반 인증 요청을 전송하여 사용자 계정을 무차별 암호 대입, 손상 또는 잠그려는 공격을 경험하고 있습니다. 손상으로부터 조직을 보호하기 위해 AD FS는 엑스트라넷 "스마트" 잠금 및 IP 주소 기반 차단과 같은 기능을 도입했습니다.

그러나 이러한 완화는 반응적입니다. 이러한 공격의 심각도를 줄이기 위해 사전 예방적 방법을 제공하기 위해 AD FS는 암호를 수집하기 전에 다른 요인을 묻는 메시지를 표시할 수 있습니다.

예를 들어 AD FS 2016에서는 인증자 앱의 OTP 코드를 첫 번째 요소로 사용할 수 있도록 Microsoft Entra 다단계 인증을 기본 인증으로 도입했습니다. AD FS 2019부터 외부 인증 공급자를 기본 인증 요소로 구성할 수 있습니다.

이를 가능하게 하는 두 가지 주요 시나리오가 있습니다.

시나리오 1: 암호 보호

먼저 추가적인 외부 요인을 요청하여 무차별 암호 기반 로그인을 무차별 암호 대입 공격 및 잠금으로부터 보호합니다. 암호 프롬프트는 외부 인증이 성공적으로 완료된 경우에만 표시됩니다. 이렇게 하면 공격자가 계정을 손상하거나 사용하지 않도록 설정하는 편리한 방법이 제거됩니다.

이 시나리오는 다음 두 가지 구성 요소로 구성됩니다.

  • Microsoft Entra 다단계 인증(AD FS 2016 이상에서 사용 가능) 또는 외부 인증 요소를 기본 인증으로 확인
  • AD FS에서 추가 인증으로 사용자 이름 및 암호

시나리오 2: 암호 없는

암호를 완전히 제거하지만 AD FS에서 완전히 비 암호 기반 메서드를 사용하여 강력한 다단계 인증을 완료합니다.

  • Authenticator 앱을 사용한 Microsoft Entra 다단계 인증
  • 비즈니스용 Windows 10 Hello
  • 인증서 인증
  • 외부 인증 공급자

개념

기본 인증이 실제로 의미하는 바는 추가 요소 이전에 사용자에게 먼저 묻는 방법입니다. 이전에는 AD FS에서 사용할 수 있는 유일한 기본 방법이 Active Directory 또는 Microsoft Entra 다단계 인증 또는 기타 LDAP 인증 저장소에 대한 메서드로 빌드되었습니다. 외부 메서드는 기본 인증이 성공적으로 완료된 후에 발생하는 "추가" 인증으로 구성할 수 있습니다.

AD FS 2019에서 기본 기능으로 외부 인증은 AD FS 팜에 등록된 모든 외부 인증 공급자(Register-AdfsAuthenticationProvider 사용)를 기본 인증 및 "추가" 인증에 사용할 수 있음을 의미합니다. 인트라넷 및/또는 엑스트라넷 사용을 위해 Forms 인증 및 인증서 인증과 같은 기본 제공 공급자와 동일한 방식으로 사용하도록 설정할 수 있습니다.

authentication

엑스트라넷, 인트라넷 또는 둘 다에 대해 외부 공급자를 사용하도록 설정하면 사용자가 사용할 수 있게 됩니다. 둘 이상의 메서드를 사용하도록 설정하면 사용자는 추가 인증과 마찬가지로 선택 페이지가 표시되고 기본 방법을 선택할 수 있습니다.

필수 조건

외부 인증 공급자를 기본으로 구성하기 전에 다음 필수 구성 요소가 있는지 확인합니다.

  • AD FS 팜 동작 수준(FBL)이 '4'로 증가했습니다(이 값은 AD FS 2019로 변환됨).
    • 새 AD FS 2019 팜의 기본 FBL 값입니다.
    • Windows Server 2012 R2 또는 2016을 기반으로 하는 AD FS 팜의 경우 PowerShell commandlet Invoke-AdfsFarmBehaviorLevelRaise를 사용하여 FBL을 발생시킬 수 있습니다. AD FS 팜 업그레이드에 대한 자세한 내용은 SQL 팜 또는 WID 팜에 대한 팜 업그레이드 문서를 참조하세요.
    • get-AdfsFarmInformation cmdlet을 사용하여 FBL 값을 검사 수 있습니다.
  • AD FS 2019 팜은 새 2019 '페이지를 매긴' 사용자 연결 페이지를 사용하도록 구성됩니다.
    • 이는 새 AD FS 2019 팜의 기본 동작입니다.
    • Windows Server 2012 R2 또는 2016에서 업그레이드된 AD FS 팜의 경우 이 문서의 다음 섹션에 설명된 대로 외부 인증을 기본 인증(이 문서에 설명된 기능)으로 사용하도록 설정하면 페이지를 매긴 흐름이 자동으로 활성화됩니다.

외부 인증 방법을 기본으로 사용하도록 설정

필수 구성 요소를 확인한 후에는 AD FS 추가 인증 공급자를 기본으로 구성하는 두 가지 방법이 있습니다. PowerShell 또는 AD FS 관리 콘솔.

PowerShell 사용

PS C:\> Set-AdfsGlobalAuthenticationPolicy -AllowAdditionalAuthenticationAsPrimary $true

추가 인증을 기본 인증으로 사용하거나 사용하지 않도록 설정한 후 AD FS 서비스를 다시 시작해야 합니다.

AD FS 관리 콘솔 사용

AD FS 관리 콘솔의 서비스 ->인증 방법 아래의 기본 인증 방법에서 편집을 선택합니다.

추가 인증 공급자를 기본으로 허용하려면 검사box를 선택합니다.

추가 인증을 기본 인증으로 사용하거나 사용하지 않도록 설정한 후 AD FS 서비스를 다시 시작해야 합니다.

추가 인증으로 사용자 이름 및 암호 사용

"암호 보호" 시나리오를 완료하려면 PowerShell 또는 AD FS 관리 콘솔을 사용하여 사용자 이름과 암호를 추가 인증으로 사용하도록 설정합니다. 두 메서드 모두에 대한 예제가 제공됩니다.

PowerShell을 사용하여 추가 인증으로 사용자 이름 및 암호 사용

PS C:\> $providers = (Get-AdfsGlobalAuthenticationPolicy).AdditionalAuthenticationProvider

PS C:\>$providers = $providers + "FormsAuthentication"

PS C:\>Set-AdfsGlobalAuthenticationPolicy -AdditionalAuthenticationProvider $providers

AD FS 관리 콘솔을 사용하여 사용자 이름 및 암호를 추가 인증으로 사용하도록 설정

AD FS 관리 콘솔의 서비스 ->인증 방법 아래의 추가 인증 방법에서 편집을 선택합니다.

사용자 이름과 암호를 추가 인증으로 사용하도록 설정하려면 양식 인증검사box를 선택합니다.