Skip to main content
이 제품의 최신 릴리즈를 사용할 수 있습니다.
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

AD FS에서 기반 당사자 트러스트를 생성합니다

기여자 netapp-perveilerk netapp-lhalbert ssantho3
PDF

AD FS(Active Directory Federation Services)를 사용하여 시스템의 각 관리 노드에 대한 기반 당사자 신뢰를 만들어야 합니다. PowerShell 명령을 사용하거나, StorageGRID에서 SAML 메타데이터를 가져오거나, 데이터를 수동으로 입력하여 의존할 수 있는 회사 트러스트를 만들 수 있습니다.

시작하기 전에

  • StorageGRID에 대해 Single Sign-On을 구성하고 SSO 유형으로 * AD FS * 를 선택했습니다.

  • * Sandbox 모드 * 는 Grid Manager의 Single Sign-On 페이지에서 선택됩니다. 을 참조하십시오 "sandbox 모드를 사용합니다".

  • 시스템의 각 관리 노드에 대한 정규화된 도메인 이름(또는 IP 주소)과 관련 당사자 식별자를 알고 있습니다. 이러한 값은 StorageGRID 단일 사인온 페이지의 관리 노드 세부 정보 테이블에서 찾을 수 있습니다.

    참고 StorageGRID 시스템의 각 관리 노드에 대한 신뢰할 수 있는 상대 신뢰를 만들어야 합니다. 각 관리 노드에 대한 신뢰할 수 있는 당사자 덕분에 사용자는 모든 관리 노드에 안전하게 로그인할 수 있습니다.

  • AD FS에서 기반 당사자 트러스트를 만드는 경험이 있거나 Microsoft AD FS 문서에 액세스할 수 있습니다.

  • AD FS 관리 스냅인을 사용하고 있으며 사용자는 Administrators 그룹에 속해 있습니다.

  • 수동으로 신뢰할 수 있는 상대 신뢰를 만드는 경우 StorageGRID 관리 인터페이스에 대해 업로드된 사용자 지정 인증서가 있거나 명령 셸에서 관리 노드에 로그인하는 방법을 알고 있어야 합니다.

이 작업에 대해

이 지침은 Windows Server 2016 AD FS에 적용됩니다. 다른 버전의 AD FS를 사용하는 경우 절차에 약간의 차이가 있을 수 있습니다. 질문이 있는 경우 Microsoft AD FS 설명서를 참조하십시오.

Windows PowerShell을 사용하여 신뢰할 수 있는 사용자 신뢰를 만듭니다

Windows PowerShell을 사용하여 하나 이상의 신뢰할 수 있는 파티 트러스트를 빠르게 만들 수 있습니다.

단계

  1. Windows 시작 메뉴에서 PowerShell 아이콘을 마우스 오른쪽 버튼으로 선택하고 * 관리자 권한으로 실행 * 을 선택합니다.

  2. PowerShell 명령 프롬프트에서 다음 명령을 입력합니다.

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • Admin_Node_Identifier`에서 관리 노드에 대한 기반 당사자 식별자를 단일 사인온 페이지에 표시된 대로 정확하게 입력합니다. 예를 들면, 다음과 같습니다. `SG-DC1-ADM1.

    • 용 `Admin_Node_FQDN`에서 동일한 관리 노드에 대해 정규화된 도메인 이름을 입력합니다. (필요한 경우 노드의 IP 주소를 대신 사용할 수 있습니다. 그러나 여기에 IP 주소를 입력한 경우에는 해당 IP 주소가 변경될 경우 이 신뢰할 수 있는 사용자 신뢰를 업데이트하거나 다시 만들어야 합니다.)

  3. Windows Server Manager에서 * Tools * > * AD FS Management * 를 선택합니다.

    AD FS 관리 도구가 나타납니다.

  4. AD FS * > * 기반 당사자 신뢰 * 를 선택합니다.

    신뢰할 수 있는 당사자 목록이 나타납니다.

  5. 새로 만든 신뢰할 수 있는 상대 신뢰에 액세스 제어 정책 추가:

    1. 방금 만든 신뢰할 수 있는 상대자를 찾습니다.

    2. 트러스트를 마우스 오른쪽 단추로 클릭하고 * 액세스 제어 정책 편집 * 을 선택합니다.

    3. 액세스 제어 정책을 선택합니다.

    4. Apply * 를 선택하고 * OK * 를 선택합니다

  6. 새로 생성된 신뢰할 수 있는 당사자 신탁에 클레임 발급 정책 추가:

    1. 방금 만든 신뢰할 수 있는 상대자를 찾습니다.

    2. 신뢰를 마우스 오른쪽 버튼으로 클릭하고 * 클레임 발급 정책 편집 * 을 선택합니다.

    3. 규칙 추가 * 를 선택합니다.

    4. 규칙 템플릿 선택 페이지의 목록에서 * 청구로 LDAP 속성 보내기 * 를 선택하고 * 다음 * 을 선택합니다.

    5. 규칙 구성 페이지에서 이 규칙의 표시 이름을 입력합니다.

      예를 들어, 이름 ID*에 대한 * objectGUID.

    6. 특성 저장소의 경우 * Active Directory * 를 선택합니다.

    7. 매핑 테이블의 LDAP 속성 열에 * objectGUID * 를 입력합니다.

    8. 매핑 테이블의 발신 클레임 유형 열에서 드롭다운 목록에서 * 이름 ID * 를 선택합니다.

    9. 마침 * 을 선택하고 * 확인 * 을 선택합니다.

  7. 메타데이터를 성공적으로 가져왔는지 확인합니다.

    1. 신뢰할 수 있는 상대 신뢰를 마우스 오른쪽 단추로 클릭하여 속성을 엽니다.

    2. Endpoints *, * Identifiers * 및 * Signature * 탭의 필드가 채워져 있는지 확인합니다.

      메타데이터가 누락된 경우 페더레이션 메타데이터 주소가 올바른지 확인하거나 값을 수동으로 입력합니다.

  8. 이 단계를 반복하여 StorageGRID 시스템의 모든 관리 노드에 대한 신뢰할 수 있는 상대 트러스트를 구성합니다.

  9. 작업을 마치면 StorageGRID로 돌아가 모든 신뢰할 수 있는 상대 트러스트를 테스트하여 올바르게 구성되었는지 확인합니다. 을 참조하십시오 "Sandbox 모드를 사용합니다" 를 참조하십시오.

페더레이션 메타데이터를 가져와 사용 상대 신뢰를 만듭니다

각 관리 노드에 대한 SAML 메타데이터에 액세스하여 각 의존자 신뢰의 값을 가져올 수 있습니다.

단계

  1. Windows Server Manager에서 * Tools * 를 선택한 다음 * AD FS Management * 를 선택합니다.

  2. 작업에서 * 신뢰할 수 있는 당사자 신뢰 추가 * 를 선택합니다.

  3. 시작 페이지에서 * 클레임 인식 * 을 선택하고 * 시작 * 을 선택합니다.

  4. 온라인 또는 로컬 네트워크에 게시된 의존자에 대한 데이터 가져오기 * 를 선택합니다.

  5. Federation 메타데이터 주소(호스트 이름 또는 URL) * 에 이 관리 노드에 대한 SAML 메타데이터의 위치를 입력합니다.

    https://Admin_Node_FQDN/api/saml-metadata

    용 `Admin_Node_FQDN`에서 동일한 관리 노드에 대해 정규화된 도메인 이름을 입력합니다. (필요한 경우 노드의 IP 주소를 대신 사용할 수 있습니다. 그러나 여기에 IP 주소를 입력한 경우에는 해당 IP 주소가 변경될 경우 이 신뢰할 수 있는 사용자 신뢰를 업데이트하거나 다시 만들어야 합니다.)

  6. 신뢰할 수 있는 당사자 신뢰 마법사를 완료하고 신뢰할 수 있는 상대 신뢰를 저장한 다음 마법사를 닫습니다.

    참고 표시 이름을 입력할 때 그리드 관리자의 단일 사인온 페이지에 나타나는 것과 동일하게 관리 노드에 대한 기반 당사자 식별자를 사용합니다. 예를 들면, 다음과 같습니다. SG-DC1-ADM1.

  7. 청구 규칙 추가:

    1. 신뢰를 마우스 오른쪽 버튼으로 클릭하고 * 클레임 발급 정책 편집 * 을 선택합니다.

    2. 규칙 추가 * 선택:

    3. 규칙 템플릿 선택 페이지의 목록에서 * 청구로 LDAP 속성 보내기 * 를 선택하고 * 다음 * 을 선택합니다.

    4. 규칙 구성 페이지에서 이 규칙의 표시 이름을 입력합니다.

      예를 들어, 이름 ID*에 대한 * objectGUID.

    5. 특성 저장소의 경우 * Active Directory * 를 선택합니다.

    6. 매핑 테이블의 LDAP 속성 열에 * objectGUID * 를 입력합니다.

    7. 매핑 테이블의 발신 클레임 유형 열에서 드롭다운 목록에서 * 이름 ID * 를 선택합니다.

    8. 마침 * 을 선택하고 * 확인 * 을 선택합니다.

  8. 메타데이터를 성공적으로 가져왔는지 확인합니다.

    1. 신뢰할 수 있는 상대 신뢰를 마우스 오른쪽 단추로 클릭하여 속성을 엽니다.

    2. Endpoints *, * Identifiers * 및 * Signature * 탭의 필드가 채워져 있는지 확인합니다.

      메타데이터가 누락된 경우 페더레이션 메타데이터 주소가 올바른지 확인하거나 값을 수동으로 입력합니다.

  9. 이 단계를 반복하여 StorageGRID 시스템의 모든 관리 노드에 대한 신뢰할 수 있는 상대 트러스트를 구성합니다.

  10. 작업을 마치면 StorageGRID로 돌아가 모든 신뢰할 수 있는 상대 트러스트를 테스트하여 올바르게 구성되었는지 확인합니다. 을 참조하십시오 "Sandbox 모드를 사용합니다" 를 참조하십시오.

수동으로 신뢰할 수 있는 상대 신뢰를 만듭니다

의존 파트 트러스트의 데이터를 불러오지 않도록 선택하면 값을 직접 입력할 수 있습니다.

단계

  1. Windows Server Manager에서 * Tools * 를 선택한 다음 * AD FS Management * 를 선택합니다.

  2. 작업에서 * 신뢰할 수 있는 당사자 신뢰 추가 * 를 선택합니다.

  3. 시작 페이지에서 * 클레임 인식 * 을 선택하고 * 시작 * 을 선택합니다.

  4. [의지하는 자에 대한 데이터 입력]을 선택하고 * [다음]을 선택합니다.

  5. 신뢰할 수 있는 당사자 신뢰 마법사를 완료합니다.

    1. 이 관리 노드의 표시 이름을 입력합니다.

      일관성을 위해 그리드 관리자의 단일 사인온 페이지에 표시되는 것과 동일하게 관리자 노드에 대한 기반 당사자 식별자를 사용합니다. 예를 들면, 다음과 같습니다. SG-DC1-ADM1.

    2. 선택적 토큰 암호화 인증서를 구성하려면 단계를 건너뜁니다.

    3. URL 구성 페이지에서 SAML 2.0 WebSSO 프로토콜 * 지원 활성화 확인란을 선택합니다.

    4. 관리 노드에 대한 SAML 서비스 끝점 URL을 입력합니다.

      https://Admin_Node_FQDN/api/saml-response

      용 `Admin_Node_FQDN`에서 관리자 노드의 정규화된 도메인 이름을 입력합니다. (필요한 경우 노드의 IP 주소를 대신 사용할 수 있습니다. 그러나 여기에 IP 주소를 입력한 경우에는 해당 IP 주소가 변경될 경우 이 신뢰할 수 있는 사용자 신뢰를 업데이트하거나 다시 만들어야 합니다.)

    5. 식별자 구성 페이지에서 동일한 관리 노드에 대한 기반 당사자 식별자를 지정합니다.

      Admin_Node_Identifier

      Admin_Node_Identifier`에서 관리 노드에 대한 기반 당사자 식별자를 단일 사인온 페이지에 표시된 대로 정확하게 입력합니다. 예를 들면, 다음과 같습니다. `SG-DC1-ADM1.

    6. 설정을 검토하고 신뢰할 수 있는 상대 신뢰를 저장한 다음 마법사를 닫습니다.

      청구 발급 정책 편집 대화 상자가 나타납니다.

    참고 대화 상자가 나타나지 않으면 트러스트를 마우스 오른쪽 단추로 클릭하고 * 클레임 발급 정책 편집 * 을 선택합니다.

  6. 클레임 규칙 마법사를 시작하려면 * 규칙 추가 * 를 선택합니다.

    1. 규칙 템플릿 선택 페이지의 목록에서 * 청구로 LDAP 속성 보내기 * 를 선택하고 * 다음 * 을 선택합니다.

    2. 규칙 구성 페이지에서 이 규칙의 표시 이름을 입력합니다.

      예를 들어, 이름 ID*에 대한 * objectGUID.

    3. 특성 저장소의 경우 * Active Directory * 를 선택합니다.

    4. 매핑 테이블의 LDAP 속성 열에 * objectGUID * 를 입력합니다.

    5. 매핑 테이블의 발신 클레임 유형 열에서 드롭다운 목록에서 * 이름 ID * 를 선택합니다.

    6. 마침 * 을 선택하고 * 확인 * 을 선택합니다.

  7. 신뢰할 수 있는 상대 신뢰를 마우스 오른쪽 단추로 클릭하여 속성을 엽니다.

  8. 엔드포인트 * 탭에서 단일 로그아웃(SLO)에 대한 엔드포인트를 구성합니다.

    1. SAML 추가 * 를 선택합니다.

    2. Endpoint Type * > * SAML Logout * 을 선택합니다.

    3. Binding * > * Redirect * 를 선택합니다.

    4. 신뢰할 수 있는 URL * 필드에 이 관리 노드에서 단일 로그아웃(SLO)에 사용되는 URL을 입력합니다.

      https://Admin_Node_FQDN/api/saml-logout

    용 `Admin_Node_FQDN`에서 관리자 노드의 정규화된 도메인 이름을 입력합니다. (필요한 경우 노드의 IP 주소를 대신 사용할 수 있습니다. 그러나 여기에 IP 주소를 입력한 경우에는 해당 IP 주소가 변경될 경우 이 신뢰할 수 있는 사용자 신뢰를 업데이트하거나 다시 만들어야 합니다.)

    1. OK * 를 선택합니다.

  9. 서명* 탭에서 이 신뢰할 수 있는 당사자 트러스트의 서명 인증서를 지정합니다.

    1. 사용자 지정 인증서 추가:

      • StorageGRID에 업로드한 사용자 지정 관리 인증서가 있는 경우 해당 인증서를 선택합니다.

      • 사용자 지정 인증서가 없는 경우 관리 노드에 로그인하고 로 이동합니다 /var/local/mgmt-api Admin Node의 디렉토리로 이동한 후 를 추가합니다 custom-server.crt 인증서 파일.

        • 참고: * 관리자 노드의 기본 인증서 사용 (server.crt)는 권장되지 않습니다. 관리자 노드에 장애가 발생하면 노드를 복구할 때 기본 인증서가 다시 생성되고, 신뢰할 수 있는 상대 트러스트를 업데이트해야 합니다.

    2. Apply * 를 선택하고 * OK * 를 선택합니다.

      종속된 당사자 속성이 저장되고 닫힙니다.

  10. 이 단계를 반복하여 StorageGRID 시스템의 모든 관리 노드에 대한 신뢰할 수 있는 상대 트러스트를 구성합니다.

  11. 작업을 마치면 StorageGRID로 돌아가 모든 신뢰할 수 있는 상대 트러스트를 테스트하여 올바르게 구성되었는지 확인합니다. 을 참조하십시오 "sandbox 모드를 사용합니다" 를 참조하십시오.