멀티팩터 인증(MFA) 관리
AD FS(Active Directory Federation Service) 서버 및 SnapCenter 서버에서 MFA(Multi-Factor Authentication) 기능을 관리할 수 있습니다.
멀티팩터 인증(MFA) 활성화
PowerShell 명령을 사용하여 SnapCenter Server에 MFA 기능을 사용하도록 설정할 수 있습니다.
-
SnapCenter는 다른 애플리케이션이 동일한 AD FS에 구성되어 있을 때 SSO 기반 로그인을 지원합니다. 특정 AD FS 구성에서 SnapCenter는 AD FS 세션 지속성에 따라 보안상의 이유로 사용자 인증을 요구할 수 있습니다.
-
cmdlet과 함께 사용할 수 있는 매개 변수 및 해당 설명은 를 실행하여 확인할 수 `Get-Help command_name`있습니다. 또는 을 참조하십시오 "SnapCenter 소프트웨어 cmdlet 참조 가이드".
-
Windows AD FS(Active Directory Federation Service)가 해당 도메인에서 실행 중이어야 합니다.
-
Azure MFA, Cisco Duo 등과 같은 AD FS 지원 다중 요소 인증 서비스가 있어야 합니다.
-
SnapCenter 및 AD FS 서버 타임 스탬프는 시간대와 상관없이 동일해야 합니다.
-
SnapCenter 서버에 대해 승인된 CA 인증서를 조달하고 구성합니다.
CA 인증서는 다음과 같은 이유로 필수입니다.
-
자체 서명된 인증서가 노드 수준에서 고유하므로 ADFS-F5 통신이 끊어지지 않도록 합니다.
-
독립 실행형 또는 고가용성 구성에서 업그레이드, 복구 또는 재해 복구(DR) 중에 자체 서명된 인증서가 다시 만들어지지 않으므로 MFA 재구성이 방지됩니다.
-
IP-FQDN 해상도를 확인합니다.
CA 인증서에 대한 자세한 내용은 를 "CA 인증서 CSR 파일을 생성합니다"참조하십시오.
-
-
AD FS(Active Directory Federation Services) 호스트에 연결합니다.
-
FQDN > /FederationMetadata/2007-06/FederationMetadata.xml에서 AD FS 페더레이션 메타데이터 파일을 "https://<host 다운로드합니다."
-
다운로드한 파일을 SnapCenter 서버에 복사하여 MFA 기능을 활성화합니다.
-
PowerShell을 통해 SnapCenter 관리자로 SnapCenter 서버에 로그인합니다.
-
PowerShell 세션을 사용하여 _New-SmMultactorAuthenticationMetadata-path_cmdlet을 사용하여 SnapCenter MFA 메타데이터 파일을 생성합니다.
path 매개 변수는 SnapCenter 서버 호스트에 MFA 메타데이터 파일을 저장할 경로를 지정합니다.
-
생성된 파일을 AD FS 호스트에 복사하여 SnapCenter를 클라이언트 엔터티로 구성합니다.
-
cmdlet을 사용하여 SnapCenter Server용 MFA를 사용하도록
Set-SmMultiFactorAuthentication
설정합니다. -
(선택 사항) cmdlet을 사용하여 MFA 구성 상태 및 설정을
Get-SmMultiFactorAuthentication
확인합니다. -
MMC(Microsoft Management Console)로 이동하여 다음 단계를 수행하십시오.
-
파일 * > * Snapin 추가/제거 * 를 클릭합니다.
-
스냅인 추가/제거 창에서 * 인증서 * 를 선택한 다음 * 추가 * 를 클릭합니다.
-
인증서 스냅인 창에서 * 컴퓨터 계정 * 옵션을 선택한 다음 * 마침 * 을 클릭합니다.
-
콘솔 루트 * > * 인증서 – 로컬 컴퓨터 * > * 개인 * > * 인증서 * 를 클릭합니다.
-
SnapCenter에 바인딩된 CA 인증서를 마우스 오른쪽 단추로 클릭한 다음 * 모든 작업 * > * 개인 키 관리 * 를 선택합니다.
-
권한 마법사에서 다음 단계를 수행합니다.
-
추가 * 를 클릭합니다.
-
Locations * 를 클릭하고 관련 호스트(계층 구조의 맨 위)를 선택합니다.
-
Locations * (위치 *) 팝업 창에서 * OK * (확인 *)를 클릭합니다.
-
개체 이름 필드에 'IIS_IUSRS'를 입력하고 * 이름 확인 * 을 클릭한 다음 * 확인 * 을 클릭합니다.
검사가 성공적으로 완료되면 * OK * 를 클릭합니다.
-
-
-
AD FS 호스트에서 AD FS 관리 마법사를 열고 다음 단계를 수행합니다.
-
'신뢰할 수 있는 당사자'를 마우스 오른쪽 버튼으로 클릭 * > * '신뢰할 수 있는 당사자 신뢰 추가' * > * 시작 * 을 클릭합니다.
-
두 번째 옵션을 선택하고 SnapCenter MFA 메타데이터 파일을 찾은 후 * 다음 * 을 클릭합니다.
-
표시 이름을 지정하고 * 다음 * 을 클릭합니다.
-
필요에 따라 액세스 제어 정책을 선택하고 * 다음 * 을 클릭합니다.
-
다음 탭에서 기본 설정으로 설정을 선택합니다.
-
마침 * 을 클릭합니다.
SnapCenter는 이제 제공된 표시 이름을 가진 의존자로 반영됩니다.
-
-
이름을 선택하고 다음 단계를 수행하십시오.
-
청구 발급 정책 편집 * 을 클릭합니다.
-
규칙 추가 * 를 클릭하고 * 다음 * 을 클릭합니다.
-
청구 규칙의 이름을 지정합니다.
-
속성 저장소로 * Active Directory * 를 선택합니다.
-
속성을 * User-Principal-Name * 으로 선택하고 발신 클레임 유형을 * Name-ID * 로 선택합니다.
-
마침 * 을 클릭합니다.
-
-
ADFS 서버에서 다음 PowerShell 명령을 실행합니다.
Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -SigningCertificateRevocationCheck None
Set-AdfsRelyingPartyTrust -TargetName ‘<Display name of relying party >’ -EncryptionCertificateRevocationCheck None
-
메타데이터를 성공적으로 가져왔는지 확인하려면 다음 단계를 수행하십시오.
-
신뢰할 수 있는 상대 신뢰를 마우스 오른쪽 단추로 클릭하고 * 속성 * 을 선택합니다.
-
끝점, 식별자 및 서명 필드가 채워져 있는지 확인합니다.
-
-
모든 브라우저 탭을 닫고 브라우저를 다시 열어 기존 또는 활성 세션 쿠키를 지우고 다시 로그인합니다.
SnapCenter MFA 기능은 REST API를 사용하여 활성화할 수도 있습니다.
문제 해결 정보는 을 "여러 탭에서 동시 로그인 시도 시 MFA 오류가 표시됩니다"참조하십시오.
AD FS MFA 메타데이터를 업데이트합니다
AD FS 서버에 업그레이드, CA 인증서 갱신, DR 등과 같은 수정 사항이 있을 때마다 SnapCenter에서 AD FS MFA 메타데이터를 업데이트해야 합니다.
-
FQDN > /FederationMetadata/2007-06/FederationMetadata.xml에서 AD FS 페더레이션 메타데이터 파일 다운로드 "https://<host "
-
다운로드한 파일을 SnapCenter 서버에 복사하여 MFA 구성을 업데이트합니다.
-
다음 cmdlet을 실행하여 SnapCenter에서 AD FS 메타데이터를 업데이트합니다.
Set-SmMultiFactorAuthentication -Path <location of ADFS MFA metadata xml file>
-
모든 브라우저 탭을 닫고 브라우저를 다시 열어 기존 또는 활성 세션 쿠키를 지우고 다시 로그인합니다.
SnapCenter MFA 메타데이터를 업데이트합니다
복구, CA 인증서 갱신, DR 등과 같은 ADFS 서버에 수정 사항이 있을 때마다 AD FS에서 SnapCenter MFA 메타데이터를 업데이트해야 합니다.
-
AD FS 호스트에서 AD FS 관리 마법사를 열고 다음 단계를 수행합니다.
-
사용 당사자 신뢰 * 를 클릭합니다.
-
SnapCenter에 대해 만든 기반 당사자 신뢰를 마우스 오른쪽 단추로 클릭하고 * 삭제 * 를 클릭합니다.
신뢰할 수 있는 사용자의 사용자 정의 이름이 표시됩니다.
-
MFA(Multi-factor Authentication)를 활성화합니다.
을 "다중 요소 인증을 활성화합니다"참조하십시오.
-
-
모든 브라우저 탭을 닫고 브라우저를 다시 열어 기존 또는 활성 세션 쿠키를 지우고 다시 로그인합니다.
MFA(Multi-Factor Authentication) 비활성화
-
MFA를 사용하지 않도록 설정하고 cmdlet을 사용하여 MFA를 사용할 때 생성된 구성 파일을 정리합니다.
Set-SmMultiFactorAuthentication
-
모든 브라우저 탭을 닫고 브라우저를 다시 열어 기존 또는 활성 세션 쿠키를 지우고 다시 로그인합니다.