AD FS에서 기반 당사자 트러스트를 생성합니다
AD FS(Active Directory Federation Services)를 사용하여 시스템의 각 관리 노드에 대한 기반 당사자 신뢰를 만들어야 합니다. PowerShell 명령을 사용하거나, StorageGRID에서 SAML 메타데이터를 가져오거나, 데이터를 수동으로 입력하여 의존할 수 있는 회사 트러스트를 만들 수 있습니다.
-
StorageGRID에 대해 Single Sign-On을 구성하고 SSO 유형으로 * AD FS * 를 선택했습니다.
-
* Sandbox 모드 * 는 Grid Manager의 Single Sign-On 페이지에서 선택됩니다. 을 참조하십시오 "sandbox 모드를 사용합니다".
-
시스템의 각 관리 노드에 대한 정규화된 도메인 이름(또는 IP 주소)과 관련 당사자 식별자를 알고 있습니다. 이러한 값은 StorageGRID 단일 사인온 페이지의 관리 노드 세부 정보 테이블에서 찾을 수 있습니다.
StorageGRID 시스템의 각 관리 노드에 대한 신뢰할 수 있는 상대 신뢰를 만들어야 합니다. 각 관리 노드에 대한 신뢰할 수 있는 당사자 덕분에 사용자는 모든 관리 노드에 안전하게 로그인할 수 있습니다. -
AD FS에서 기반 당사자 트러스트를 만드는 경험이 있거나 Microsoft AD FS 문서에 액세스할 수 있습니다.
-
AD FS 관리 스냅인을 사용하고 있으며 사용자는 Administrators 그룹에 속해 있습니다.
-
수동으로 신뢰할 수 있는 상대 신뢰를 만드는 경우 StorageGRID 관리 인터페이스에 대해 업로드된 사용자 지정 인증서가 있거나 명령 셸에서 관리 노드에 로그인하는 방법을 알고 있어야 합니다.
이 지침은 Windows Server 2016 AD FS에 적용됩니다. 다른 버전의 AD FS를 사용하는 경우 절차에 약간의 차이가 있을 수 있습니다. 질문이 있는 경우 Microsoft AD FS 설명서를 참조하십시오.
Windows PowerShell을 사용하여 신뢰할 수 있는 사용자 신뢰를 만듭니다
Windows PowerShell을 사용하여 하나 이상의 신뢰할 수 있는 파티 트러스트를 빠르게 만들 수 있습니다.
-
Windows 시작 메뉴에서 PowerShell 아이콘을 마우스 오른쪽 버튼으로 선택하고 * 관리자 권한으로 실행 * 을 선택합니다.
-
PowerShell 명령 프롬프트에서 다음 명령을 입력합니다.
Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"
-
용
Admin_Node_Identifier`에서 관리 노드에 대한 기반 당사자 식별자를 단일 사인온 페이지에 표시된 대로 정확하게 입력합니다. 예를 들면, 다음과 같습니다. `SG-DC1-ADM1
. -
용 `Admin_Node_FQDN`에서 동일한 관리 노드에 대해 정규화된 도메인 이름을 입력합니다. (필요한 경우 노드의 IP 주소를 대신 사용할 수 있습니다. 그러나 여기에 IP 주소를 입력한 경우에는 해당 IP 주소가 변경될 경우 이 신뢰할 수 있는 사용자 신뢰를 업데이트하거나 다시 만들어야 합니다.)
-
-
Windows Server Manager에서 * Tools * > * AD FS Management * 를 선택합니다.
AD FS 관리 도구가 나타납니다.
-
AD FS * > * 기반 당사자 신뢰 * 를 선택합니다.
신뢰할 수 있는 당사자 목록이 나타납니다.
-
새로 만든 신뢰할 수 있는 상대 신뢰에 액세스 제어 정책 추가:
-
방금 만든 신뢰할 수 있는 상대자를 찾습니다.
-
트러스트를 마우스 오른쪽 단추로 클릭하고 * 액세스 제어 정책 편집 * 을 선택합니다.
-
액세스 제어 정책을 선택합니다.
-
Apply * 를 선택하고 * OK * 를 선택합니다
-
-
새로 생성된 신뢰할 수 있는 당사자 신탁에 클레임 발급 정책 추가:
-
방금 만든 신뢰할 수 있는 상대자를 찾습니다.
-
신뢰를 마우스 오른쪽 버튼으로 클릭하고 * 클레임 발급 정책 편집 * 을 선택합니다.
-
규칙 추가 * 를 선택합니다.
-
규칙 템플릿 선택 페이지의 목록에서 * 청구로 LDAP 속성 보내기 * 를 선택하고 * 다음 * 을 선택합니다.
-
규칙 구성 페이지에서 이 규칙의 표시 이름을 입력합니다.
예를 들어, 이름 ID*에 대한 * objectGUID.
-
특성 저장소의 경우 * Active Directory * 를 선택합니다.
-
매핑 테이블의 LDAP 속성 열에 * objectGUID * 를 입력합니다.
-
매핑 테이블의 발신 클레임 유형 열에서 드롭다운 목록에서 * 이름 ID * 를 선택합니다.
-
마침 * 을 선택하고 * 확인 * 을 선택합니다.
-
-
메타데이터를 성공적으로 가져왔는지 확인합니다.
-
신뢰할 수 있는 상대 신뢰를 마우스 오른쪽 단추로 클릭하여 속성을 엽니다.
-
Endpoints *, * Identifiers * 및 * Signature * 탭의 필드가 채워져 있는지 확인합니다.
메타데이터가 누락된 경우 페더레이션 메타데이터 주소가 올바른지 확인하거나 값을 수동으로 입력합니다.
-
-
이 단계를 반복하여 StorageGRID 시스템의 모든 관리 노드에 대한 신뢰할 수 있는 상대 트러스트를 구성합니다.
-
작업을 마치면 StorageGRID로 돌아가 모든 신뢰할 수 있는 상대 트러스트를 테스트하여 올바르게 구성되었는지 확인합니다. 을 참조하십시오 "Sandbox 모드를 사용합니다" 를 참조하십시오.
페더레이션 메타데이터를 가져와 사용 상대 신뢰를 만듭니다
각 관리 노드에 대한 SAML 메타데이터에 액세스하여 각 의존자 신뢰의 값을 가져올 수 있습니다.
-
Windows Server Manager에서 * Tools * 를 선택한 다음 * AD FS Management * 를 선택합니다.
-
작업에서 * 신뢰할 수 있는 당사자 신뢰 추가 * 를 선택합니다.
-
시작 페이지에서 * 클레임 인식 * 을 선택하고 * 시작 * 을 선택합니다.
-
온라인 또는 로컬 네트워크에 게시된 의존자에 대한 데이터 가져오기 * 를 선택합니다.
-
Federation 메타데이터 주소(호스트 이름 또는 URL) * 에 이 관리 노드에 대한 SAML 메타데이터의 위치를 입력합니다.
https://Admin_Node_FQDN/api/saml-metadata
용 `Admin_Node_FQDN`에서 동일한 관리 노드에 대해 정규화된 도메인 이름을 입력합니다. (필요한 경우 노드의 IP 주소를 대신 사용할 수 있습니다. 그러나 여기에 IP 주소를 입력한 경우에는 해당 IP 주소가 변경될 경우 이 신뢰할 수 있는 사용자 신뢰를 업데이트하거나 다시 만들어야 합니다.)
-
신뢰할 수 있는 당사자 신뢰 마법사를 완료하고 신뢰할 수 있는 상대 신뢰를 저장한 다음 마법사를 닫습니다.
표시 이름을 입력할 때 그리드 관리자의 단일 사인온 페이지에 나타나는 것과 동일하게 관리 노드에 대한 기반 당사자 식별자를 사용합니다. 예를 들면, 다음과 같습니다. SG-DC1-ADM1
. -
청구 규칙 추가:
-
신뢰를 마우스 오른쪽 버튼으로 클릭하고 * 클레임 발급 정책 편집 * 을 선택합니다.
-
규칙 추가 * 선택:
-
규칙 템플릿 선택 페이지의 목록에서 * 청구로 LDAP 속성 보내기 * 를 선택하고 * 다음 * 을 선택합니다.
-
규칙 구성 페이지에서 이 규칙의 표시 이름을 입력합니다.
예를 들어, 이름 ID*에 대한 * objectGUID.
-
특성 저장소의 경우 * Active Directory * 를 선택합니다.
-
매핑 테이블의 LDAP 속성 열에 * objectGUID * 를 입력합니다.
-
매핑 테이블의 발신 클레임 유형 열에서 드롭다운 목록에서 * 이름 ID * 를 선택합니다.
-
마침 * 을 선택하고 * 확인 * 을 선택합니다.
-
-
메타데이터를 성공적으로 가져왔는지 확인합니다.
-
신뢰할 수 있는 상대 신뢰를 마우스 오른쪽 단추로 클릭하여 속성을 엽니다.
-
Endpoints *, * Identifiers * 및 * Signature * 탭의 필드가 채워져 있는지 확인합니다.
메타데이터가 누락된 경우 페더레이션 메타데이터 주소가 올바른지 확인하거나 값을 수동으로 입력합니다.
-
-
이 단계를 반복하여 StorageGRID 시스템의 모든 관리 노드에 대한 신뢰할 수 있는 상대 트러스트를 구성합니다.
-
작업을 마치면 StorageGRID로 돌아가 모든 신뢰할 수 있는 상대 트러스트를 테스트하여 올바르게 구성되었는지 확인합니다. 을 참조하십시오 "Sandbox 모드를 사용합니다" 를 참조하십시오.
수동으로 신뢰할 수 있는 상대 신뢰를 만듭니다
의존 파트 트러스트의 데이터를 불러오지 않도록 선택하면 값을 직접 입력할 수 있습니다.
-
Windows Server Manager에서 * Tools * 를 선택한 다음 * AD FS Management * 를 선택합니다.
-
작업에서 * 신뢰할 수 있는 당사자 신뢰 추가 * 를 선택합니다.
-
시작 페이지에서 * 클레임 인식 * 을 선택하고 * 시작 * 을 선택합니다.
-
[의지하는 자에 대한 데이터 입력]을 선택하고 * [다음]을 선택합니다.
-
신뢰할 수 있는 당사자 신뢰 마법사를 완료합니다.
-
이 관리 노드의 표시 이름을 입력합니다.
일관성을 위해 그리드 관리자의 단일 사인온 페이지에 표시되는 것과 동일하게 관리자 노드에 대한 기반 당사자 식별자를 사용합니다. 예를 들면, 다음과 같습니다.
SG-DC1-ADM1
. -
선택적 토큰 암호화 인증서를 구성하려면 단계를 건너뜁니다.
-
URL 구성 페이지에서 SAML 2.0 WebSSO 프로토콜 * 지원 활성화 확인란을 선택합니다.
-
관리 노드에 대한 SAML 서비스 끝점 URL을 입력합니다.
https://Admin_Node_FQDN/api/saml-response
용 `Admin_Node_FQDN`에서 관리자 노드의 정규화된 도메인 이름을 입력합니다. (필요한 경우 노드의 IP 주소를 대신 사용할 수 있습니다. 그러나 여기에 IP 주소를 입력한 경우에는 해당 IP 주소가 변경될 경우 이 신뢰할 수 있는 사용자 신뢰를 업데이트하거나 다시 만들어야 합니다.)
-
식별자 구성 페이지에서 동일한 관리 노드에 대한 기반 당사자 식별자를 지정합니다.
Admin_Node_Identifier
용
Admin_Node_Identifier`에서 관리 노드에 대한 기반 당사자 식별자를 단일 사인온 페이지에 표시된 대로 정확하게 입력합니다. 예를 들면, 다음과 같습니다. `SG-DC1-ADM1
. -
설정을 검토하고 신뢰할 수 있는 상대 신뢰를 저장한 다음 마법사를 닫습니다.
청구 발급 정책 편집 대화 상자가 나타납니다.
대화 상자가 나타나지 않으면 트러스트를 마우스 오른쪽 단추로 클릭하고 * 클레임 발급 정책 편집 * 을 선택합니다. -
-
클레임 규칙 마법사를 시작하려면 * 규칙 추가 * 를 선택합니다.
-
규칙 템플릿 선택 페이지의 목록에서 * 청구로 LDAP 속성 보내기 * 를 선택하고 * 다음 * 을 선택합니다.
-
규칙 구성 페이지에서 이 규칙의 표시 이름을 입력합니다.
예를 들어, 이름 ID*에 대한 * objectGUID.
-
특성 저장소의 경우 * Active Directory * 를 선택합니다.
-
매핑 테이블의 LDAP 속성 열에 * objectGUID * 를 입력합니다.
-
매핑 테이블의 발신 클레임 유형 열에서 드롭다운 목록에서 * 이름 ID * 를 선택합니다.
-
마침 * 을 선택하고 * 확인 * 을 선택합니다.
-
-
신뢰할 수 있는 상대 신뢰를 마우스 오른쪽 단추로 클릭하여 속성을 엽니다.
-
엔드포인트 * 탭에서 단일 로그아웃(SLO)에 대한 엔드포인트를 구성합니다.
-
SAML 추가 * 를 선택합니다.
-
Endpoint Type * > * SAML Logout * 을 선택합니다.
-
Binding * > * Redirect * 를 선택합니다.
-
신뢰할 수 있는 URL * 필드에 이 관리 노드에서 단일 로그아웃(SLO)에 사용되는 URL을 입력합니다.
https://Admin_Node_FQDN/api/saml-logout
용 `Admin_Node_FQDN`에서 관리자 노드의 정규화된 도메인 이름을 입력합니다. (필요한 경우 노드의 IP 주소를 대신 사용할 수 있습니다. 그러나 여기에 IP 주소를 입력한 경우에는 해당 IP 주소가 변경될 경우 이 신뢰할 수 있는 사용자 신뢰를 업데이트하거나 다시 만들어야 합니다.)
-
OK * 를 선택합니다.
-
-
서명* 탭에서 이 신뢰할 수 있는 당사자 트러스트의 서명 인증서를 지정합니다.
-
사용자 지정 인증서 추가:
-
StorageGRID에 업로드한 사용자 지정 관리 인증서가 있는 경우 해당 인증서를 선택합니다.
-
사용자 지정 인증서가 없는 경우 관리 노드에 로그인하고 로 이동합니다
/var/local/mgmt-api
Admin Node의 디렉토리로 이동한 후 를 추가합니다custom-server.crt
인증서 파일.-
참고: * 관리자 노드의 기본 인증서 사용 (
server.crt
)는 권장되지 않습니다. 관리자 노드에 장애가 발생하면 노드를 복구할 때 기본 인증서가 다시 생성되고, 신뢰할 수 있는 상대 트러스트를 업데이트해야 합니다.
-
-
-
Apply * 를 선택하고 * OK * 를 선택합니다.
종속된 당사자 속성이 저장되고 닫힙니다.
-
-
이 단계를 반복하여 StorageGRID 시스템의 모든 관리 노드에 대한 신뢰할 수 있는 상대 트러스트를 구성합니다.
-
작업을 마치면 StorageGRID로 돌아가 모든 신뢰할 수 있는 상대 트러스트를 테스트하여 올바르게 구성되었는지 확인합니다. 을 참조하십시오 "sandbox 모드를 사용합니다" 를 참조하십시오.