멀티팩터 인증(MFA) 관리
이 항목에서는 AD FS(Active Directory Federation Service) 서버 및 SnapCenter 서버에서 MFA(Multi-Factor Authentication) 기능을 관리하는 방법에 대해 설명합니다.
멀티팩터 인증(MFA) 활성화
이 항목에서는 AD FS(Active Directory Federation Service) 서버 및 SnapCenter 서버에서 MFA 기능을 사용하도록 설정하는 방법에 대해 설명합니다.
-
SnapCenter는 다른 애플리케이션이 동일한 AD FS에 구성되어 있을 때 SSO 기반 로그인을 지원합니다. 특정 AD FS 구성에서 SnapCenter는 AD FS 세션 지속성에 따라 보안상의 이유로 사용자 인증을 요구할 수 있습니다.
-
cmdlet과 함께 사용할 수 있는 매개 변수와 이에 대한 설명은 를 실행하여 얻을 수 있습니다
Get-Help command_name
. 또는 를 볼 수도 있습니다 "SnapCenter 소프트웨어 cmdlet 참조 가이드".
-
Windows AD FS(Active Directory Federation Service)가 해당 도메인에서 실행 중이어야 합니다.
-
Azure MFA, Cisco Duo 등과 같은 AD FS 지원 다중 요소 인증 서비스가 있어야 합니다.
-
SnapCenter 및 AD FS 서버 타임 스탬프는 시간대와 상관없이 동일해야 합니다.
-
SnapCenter 서버에 대해 승인된 CA 인증서를 조달하고 구성합니다.
CA 인증서는 다음과 같은 이유로 필수입니다.
-
자체 서명된 인증서가 노드 수준에서 고유하므로 ADFS-F5 통신이 끊어지지 않도록 합니다.
-
독립 실행형 또는 고가용성 구성에서 업그레이드, 복구 또는 재해 복구(DR) 중에 자체 서명된 인증서가 다시 만들어지지 않으므로 MFA 재구성이 방지됩니다.
-
IP-FQDN 해상도를 확인합니다.
CA 인증서에 대한 자세한 내용은 을 참조하십시오 "CA 인증서 CSR 파일을 생성합니다".
-
-
AD FS(Active Directory Federation Services) 호스트에 연결합니다.
-
에서 AD FS 페더레이션 메타데이터 파일을 다운로드합니다 "https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml".
-
다운로드한 파일을 SnapCenter 서버에 복사하여 MFA 기능을 활성화합니다.
-
PowerShell을 통해 SnapCenter 관리자로 SnapCenter 서버에 로그인합니다.
-
PowerShell 세션을 사용하여 _New-SmMultactorAuthenticationMetadata-path_cmdlet을 사용하여 SnapCenter MFA 메타데이터 파일을 생성합니다.
path 매개 변수는 SnapCenter 서버 호스트에 MFA 메타데이터 파일을 저장할 경로를 지정합니다.
-
생성된 파일을 AD FS 호스트에 복사하여 SnapCenter를 클라이언트 엔터티로 구성합니다.
-
를 사용하여 SnapCenter 서버에 대해 MFA를 활성화합니다
Set-SmMultiFactorAuthentication -Enable -Path
cmdlet.path 매개 변수는 3단계에서 SnapCenter 서버로 복제된 AD FS MFA 메타데이터 XML 파일의 위치를 지정합니다.
-
(선택 사항) 를 사용하여 MFA 구성 상태 및 설정을 확인합니다
Get-SmMultiFactorAuthentication
cmdlet. -
MMC(Microsoft Management Console)로 이동하여 다음 단계를 수행하십시오.
-
파일 * > * Snapin 추가/제거 * 를 클릭합니다.
-
스냅인 추가/제거 창에서 * 인증서 * 를 선택한 다음 * 추가 * 를 클릭합니다.
-
인증서 스냅인 창에서 * 컴퓨터 계정 * 옵션을 선택한 다음 * 마침 * 을 클릭합니다.
-
콘솔 루트 * > * 인증서 – 로컬 컴퓨터 * > * 개인 * > * 인증서 * 를 클릭합니다.
-
SnapCenter에 바인딩된 CA 인증서를 마우스 오른쪽 단추로 클릭한 다음 * 모든 작업 * > * 개인 키 관리 * 를 선택합니다.
-
권한 마법사에서 다음 단계를 수행합니다.
-
추가 * 를 클릭합니다.
-
Locations * 를 클릭하고 관련 호스트(계층 구조의 맨 위)를 선택합니다.
-
Locations * (위치 *) 팝업 창에서 * OK * (확인 *)를 클릭합니다.
-
개체 이름 필드에 'IIS_IUSRS'를 입력하고 * 이름 확인 * 을 클릭한 다음 * 확인 * 을 클릭합니다.
검사가 성공적으로 완료되면 * OK * 를 클릭합니다.
-
-
-
AD FS 호스트에서 AD FS 관리 마법사를 열고 다음 단계를 수행합니다.
-
'신뢰할 수 있는 당사자'를 마우스 오른쪽 버튼으로 클릭 * > * '신뢰할 수 있는 당사자 신뢰 추가' * > * 시작 * 을 클릭합니다.
-
두 번째 옵션을 선택하고 SnapCenter MFA 메타데이터 파일을 찾은 후 * 다음 * 을 클릭합니다.
-
표시 이름을 지정하고 * 다음 * 을 클릭합니다.
-
필요에 따라 액세스 제어 정책을 선택하고 * 다음 * 을 클릭합니다.
-
다음 탭에서 기본 설정으로 설정을 선택합니다.
-
마침 * 을 클릭합니다.
SnapCenter는 이제 제공된 표시 이름을 가진 의존자로 반영됩니다.
-
-
이름을 선택하고 다음 단계를 수행하십시오.
-
청구 발급 정책 편집 * 을 클릭합니다.
-
규칙 추가 * 를 클릭하고 * 다음 * 을 클릭합니다.
-
청구 규칙의 이름을 지정합니다.
-
속성 저장소로 * Active Directory * 를 선택합니다.
-
속성을 * User-Principal-Name * 으로 선택하고 발신 클레임 유형을 * Name-ID * 로 선택합니다.
-
마침 * 을 클릭합니다.
-
-
ADFS 서버에서 다음 PowerShell 명령을 실행합니다.
Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck None
Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None
-
메타데이터를 성공적으로 가져왔는지 확인하려면 다음 단계를 수행하십시오.
-
신뢰할 수 있는 상대 신뢰를 마우스 오른쪽 단추로 클릭하고 * 속성 * 을 선택합니다.
-
끝점, 식별자 및 서명 필드가 채워져 있는지 확인합니다.
-
-
모든 브라우저 탭을 닫고 브라우저를 다시 열어 기존 또는 활성 세션 쿠키를 지우고 다시 로그인합니다.
SnapCenter MFA 기능은 REST API를 사용하여 활성화할 수도 있습니다.
문제 해결에 대한 자세한 내용은 을 참조하십시오 "여러 탭에서 동시 로그인 시도 시 MFA 오류가 표시됩니다".
AD FS MFA 메타데이터를 업데이트합니다
AD FS 서버에 업그레이드, CA 인증서 갱신, DR 등과 같은 수정 사항이 있을 때마다 SnapCenter에서 AD FS MFA 메타데이터를 업데이트해야 합니다.
-
에서 AD FS 페더레이션 메타데이터 파일을 다운로드합니다 "https://<host FQDN>/FederationMetadata/2007-06/FederationMetadata.xml"
-
다운로드한 파일을 SnapCenter 서버에 복사하여 MFA 구성을 업데이트합니다.
-
다음 cmdlet을 실행하여 SnapCenter에서 AD FS 메타데이터를 업데이트합니다.
Set-SmMultiFactorAuthentication -Path <location of ADFS MFA metadata xml file>
-
모든 브라우저 탭을 닫고 브라우저를 다시 열어 기존 또는 활성 세션 쿠키를 지우고 다시 로그인합니다.
SnapCenter MFA 메타데이터를 업데이트합니다
복구, CA 인증서 갱신, DR 등과 같은 ADFS 서버에 수정 사항이 있을 때마다 AD FS에서 SnapCenter MFA 메타데이터를 업데이트해야 합니다.
-
AD FS 호스트에서 AD FS 관리 마법사를 열고 다음 단계를 수행합니다.
-
사용 당사자 신뢰 * 를 클릭합니다.
-
SnapCenter에 대해 만든 기반 당사자 신뢰를 마우스 오른쪽 단추로 클릭하고 * 삭제 * 를 클릭합니다.
신뢰할 수 있는 사용자의 사용자 정의 이름이 표시됩니다.
-
MFA(Multi-factor Authentication)를 활성화합니다.
을 참조하십시오 "다중 요소 인증을 활성화합니다".
-
-
모든 브라우저 탭을 닫고 브라우저를 다시 열어 기존 또는 활성 세션 쿠키를 지우고 다시 로그인합니다.
MFA(Multi-Factor Authentication) 비활성화
-
MFA를 비활성화하고 를 사용하여 MFA를 활성화했을 때 생성된 구성 파일을 정리합니다
Set-SmMultiFactorAuthentication -Disable
cmdlet. -
모든 브라우저 탭을 닫고 브라우저를 다시 열어 기존 또는 활성 세션 쿠키를 지우고 다시 로그인합니다.