Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

AD FS에서 신뢰 당사자 트러스트 만들기

PDF

시스템의 각 관리 노드에 대한 신뢰 당사자 트러스트를 생성하려면 AD FS(Active Directory Federation Services)를 사용해야 합니다. PowerShell 명령을 사용하거나, StorageGRID 에서 SAML 메타데이터를 가져오거나, 데이터를 수동으로 입력하여 신뢰 당사자 트러스트를 만들 수 있습니다.

시작하기 전에

  • StorageGRID 에 대한 Single Sign-On을 구성하고 SSO 유형으로 *AD FS*를 선택했습니다.

  • *샌드박스 모드*는 Grid Manager의 Single Sign-on 페이지에서 선택됩니다. 보다 "샌드박스 모드 사용" .

  • 시스템의 각 관리 노드에 대한 정규화된 도메인 이름(또는 IP 주소)과 신뢰 당사자 식별자를 알고 있습니다. 이러한 값은 StorageGRID Single Sign-on 페이지의 관리 노드 세부 정보 표에서 찾을 수 있습니다.

    참고 StorageGRID 시스템의 각 관리 노드에 대해 신뢰 당사자 트러스트를 만들어야 합니다. 각 관리 노드에 대해 신뢰 당사자 트러스트를 구축하면 사용자가 모든 관리 노드에 안전하게 로그인하고 로그아웃할 수 있습니다.

  • AD FS에서 신뢰 당사자 트러스트를 만든 경험이 있거나 Microsoft AD FS 설명서를 참조할 수 있습니다.

  • AD FS 관리 스냅인을 사용하고 있으며 관리자 그룹에 속해 있습니다.

  • 신뢰 당사자 트러스트를 수동으로 생성하는 경우 StorageGRID 관리 인터페이스에 업로드된 사용자 정의 인증서가 있거나 명령 셸에서 관리 노드에 로그인하는 방법을 알고 있습니다.

이 작업에 관하여

이 지침은 Windows Server 2016 AD FS에 적용됩니다. 다른 버전의 AD FS를 사용하는 경우 절차에 약간의 차이가 있음을 알 수 있습니다. 질문이 있으면 Microsoft AD FS 설명서를 참조하세요.

Windows PowerShell을 사용하여 신뢰 당사자 신뢰 만들기

Windows PowerShell을 사용하면 하나 이상의 신뢰 당사자 트러스트를 빠르게 만들 수 있습니다.

단계

  1. Windows 시작 메뉴에서 PowerShell 아이콘을 마우스 오른쪽 버튼으로 선택하고 *관리자 권한으로 실행*을 선택합니다.

  2. PowerShell 명령 프롬프트에서 다음 명령을 입력합니다.

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • 을 위한 Admin_Node_Identifier , Single Sign-on 페이지에 표시된 대로 관리 노드의 신뢰 당사자 식별자를 정확히 입력합니다. 예를 들어, SG-DC1-ADM1 .

    • 을 위한 Admin_Node_FQDN , 동일한 관리 노드에 대한 정규화된 도메인 이름을 입력합니다. (필요한 경우 노드의 IP 주소를 대신 사용할 수 있습니다. 하지만 여기에 IP 주소를 입력하는 경우 해당 IP 주소가 변경될 경우 이 신뢰 당사자 트러스트를 업데이트하거나 다시 만들어야 한다는 점을 알아두세요.)

  3. Windows Server 관리자에서 도구 > *AD FS 관리*를 선택합니다.

    AD FS 관리 도구가 나타납니다.

  4. AD FS > *신뢰 당사자 트러스트*를 선택합니다.

    신뢰 당사자 신뢰 목록이 나타납니다.

  5. 새로 생성된 신뢰 당사자 트러스트에 액세스 제어 정책을 추가합니다.

    1. 방금 만든 신뢰 당사자 트러스트를 찾으세요.

    2. 트러스트를 마우스 오른쪽 버튼으로 클릭하고 *액세스 제어 정책 편집*을 선택합니다.

    3. 접근 제어 정책을 선택하세요.

    4. *적용*을 선택하고 *확인*을 선택하세요.

  6. 새로 생성된 신뢰 당사자 트러스트에 클레임 발급 정책을 추가합니다.

    1. 방금 만든 신뢰 당사자 트러스트를 찾으세요.

    2. 신탁을 마우스 오른쪽 버튼으로 클릭하고 *청구 발급 정책 편집*을 선택합니다.

    3. *규칙 추가*를 선택합니다.

    4. 규칙 템플릿 선택 페이지에서 목록에서 *LDAP 속성을 클레임으로 보내기*를 선택하고 *다음*을 선택합니다.

    5. 규칙 구성 페이지에서 이 규칙의 표시 이름을 입력합니다.

      예를 들어, ObjectGUID에서 이름 ID로 또는 UPN에서 이름 ID로.

    6. 속성 저장소에 대해 *Active Directory*를 선택합니다.

    7. 매핑 테이블의 LDAP 속성 열에 *objectGUID*를 입력하거나 *User-Principal-Name*을 선택합니다.

    8. 매핑 테이블의 발신 클레임 유형 열에서 드롭다운 목록에서 *이름 ID*를 선택합니다.

    9. *마침*을 선택하고 *확인*을 선택합니다.

  7. 메타데이터가 성공적으로 가져왔는지 확인하세요.

    1. 신뢰 당사자 트러스트를 마우스 오른쪽 버튼으로 클릭하여 속성을 엽니다.

    2. 엔드포인트, 식별자, 서명 탭의 필드가 채워졌는지 확인하세요.

      메타데이터가 누락된 경우, 연방 메타데이터 주소가 올바른지 확인하거나 값을 직접 입력하세요.

  8. StorageGRID 시스템의 모든 관리 노드에 대한 신뢰 당사자 트러스트를 구성하려면 이 단계를 반복합니다.

  9. 작업이 끝나면 StorageGRID 로 돌아가 모든 신뢰 당사자 트러스트를 테스트하여 올바르게 구성되었는지 확인합니다. 보다"샌드박스 모드 사용" 지침을 보려면.

페더레이션 메타데이터를 가져와서 신뢰 당사자 트러스트를 만듭니다.

각 관리 노드의 SAML 메타데이터에 액세스하여 각 신뢰 당사자 신뢰에 대한 값을 가져올 수 있습니다.

단계

  1. Windows Server 관리자에서 *도구*를 선택한 다음 *AD FS 관리*를 선택합니다.

  2. 작업에서 *신뢰 당사자 신뢰 추가*를 선택합니다.

  3. 환영 페이지에서 *클레임 인식*을 선택하고 *시작*을 선택하세요.

  4. *온라인이나 로컬 네트워크에 게시된 신뢰 당사자에 대한 데이터 가져오기*를 선택합니다.

  5. *페더레이션 메타데이터 주소(호스트 이름 또는 URL)*에 이 관리 노드의 SAML 메타데이터 위치를 입력합니다.

    https://Admin_Node_FQDN/api/saml-metadata

    을 위한 Admin_Node_FQDN , 동일한 관리 노드에 대한 정규화된 도메인 이름을 입력합니다. (필요한 경우 노드의 IP 주소를 대신 사용할 수 있습니다. 하지만 여기에 IP 주소를 입력하는 경우 해당 IP 주소가 변경될 경우 이 신뢰 당사자 트러스트를 업데이트하거나 다시 만들어야 한다는 점을 알아두세요.)

  6. 신뢰 당사자 신뢰 마법사를 완료하고 신뢰 당사자 신뢰를 저장한 다음 마법사를 닫습니다.

    참고 표시 이름을 입력할 때는 Grid Manager의 Single Sign-on 페이지에 나타나는 것과 정확히 같은 관리 노드의 신뢰 당사자 식별자를 사용하세요. 예를 들어, SG-DC1-ADM1 .

  7. 클레임 규칙을 추가합니다.

    1. 신탁을 마우스 오른쪽 버튼으로 클릭하고 *청구 발급 정책 편집*을 선택합니다.

    2. *규칙 추가*를 선택하세요:

    3. 규칙 템플릿 선택 페이지에서 목록에서 *LDAP 속성을 클레임으로 보내기*를 선택하고 *다음*을 선택합니다.

    4. 규칙 구성 페이지에서 이 규칙의 표시 이름을 입력합니다.

      예를 들어, ObjectGUID에서 이름 ID로 또는 UPN에서 이름 ID로.

    5. 속성 저장소에 대해 *Active Directory*를 선택합니다.

    6. 매핑 테이블의 LDAP 속성 열에 *objectGUID*를 입력하거나 *User-Principal-Name*을 선택합니다.

    7. 매핑 테이블의 발신 클레임 유형 열에서 드롭다운 목록에서 *이름 ID*를 선택합니다.

    8. *마침*을 선택하고 *확인*을 선택합니다.

  8. 메타데이터가 성공적으로 가져왔는지 확인하세요.

    1. 신뢰 당사자 트러스트를 마우스 오른쪽 버튼으로 클릭하여 속성을 엽니다.

    2. 엔드포인트, 식별자, 서명 탭의 필드가 채워졌는지 확인하세요.

      메타데이터가 누락된 경우, 연방 메타데이터 주소가 올바른지 확인하거나 값을 직접 입력하세요.

  9. StorageGRID 시스템의 모든 관리 노드에 대한 신뢰 당사자 트러스트를 구성하려면 이 단계를 반복합니다.

  10. 작업이 끝나면 StorageGRID 로 돌아가 모든 신뢰 당사자 트러스트를 테스트하여 올바르게 구성되었는지 확인합니다. 보다"샌드박스 모드 사용" 지침을 보려면.

수동으로 신뢰 당사자 신뢰 생성

의존하는 부분 트러스트에 대한 데이터를 가져오지 않기로 선택한 경우 값을 수동으로 입력할 수 있습니다.

단계

  1. Windows Server 관리자에서 *도구*를 선택한 다음 *AD FS 관리*를 선택합니다.

  2. 작업에서 *신뢰 당사자 신뢰 추가*를 선택합니다.

  3. 환영 페이지에서 *클레임 인식*을 선택하고 *시작*을 선택하세요.

  4. *신뢰 당사자에 대한 데이터를 수동으로 입력*을 선택하고 *다음*을 선택합니다.

  5. 신뢰 당사자 신뢰 마법사를 완료하세요.

    1. 이 관리 노드의 표시 이름을 입력하세요.

      일관성을 위해 Grid Manager의 Single Sign-on 페이지에 표시되는 것과 정확히 동일하게 관리 노드에 대한 신뢰 당사자 식별자를 사용하세요. 예를 들어, SG-DC1-ADM1 .

    2. 선택적 토큰 암호화 인증서를 구성하는 단계를 건너뜁니다.

    3. URL 구성 페이지에서 SAML 2.0 WebSSO 프로토콜 지원 활성화 확인란을 선택합니다.

    4. 관리 노드에 대한 SAML 서비스 엔드포인트 URL을 입력하세요.

      https://Admin_Node_FQDN/api/saml-response

      을 위한 Admin_Node_FQDN , 관리 노드에 대한 정규화된 도메인 이름을 입력합니다. (필요한 경우 노드의 IP 주소를 대신 사용할 수 있습니다. 하지만 여기에 IP 주소를 입력하는 경우 해당 IP 주소가 변경될 경우 이 신뢰 당사자 트러스트를 업데이트하거나 다시 만들어야 한다는 점을 알아두세요.)

    5. 식별자 구성 페이지에서 동일한 관리 노드에 대한 신뢰 당사자 식별자를 지정합니다.

      Admin_Node_Identifier

      을 위한 Admin_Node_Identifier , Single Sign-on 페이지에 표시된 대로 관리 노드의 신뢰 당사자 식별자를 정확히 입력합니다. 예를 들어, SG-DC1-ADM1 .

    6. 설정을 검토하고, 신뢰 당사자 신뢰를 저장한 다음 마법사를 닫습니다.

      청구 발급 정책 편집 대화 상자가 나타납니다.

    참고 대화 상자가 나타나지 않으면 트러스트를 마우스 오른쪽 버튼으로 클릭하고 *클레임 발급 정책 편집*을 선택하세요.

  6. 클레임 규칙 마법사를 시작하려면 *규칙 추가*를 선택하세요.

    1. 규칙 템플릿 선택 페이지에서 목록에서 *LDAP 속성을 클레임으로 보내기*를 선택하고 *다음*을 선택합니다.

    2. 규칙 구성 페이지에서 이 규칙의 표시 이름을 입력합니다.

      예를 들어, ObjectGUID에서 이름 ID로 또는 UPN에서 이름 ID로.

    3. 속성 저장소에 대해 *Active Directory*를 선택합니다.

    4. 매핑 테이블의 LDAP 속성 열에 *objectGUID*를 입력하거나 *User-Principal-Name*을 선택합니다.

    5. 매핑 테이블의 발신 클레임 유형 열에서 드롭다운 목록에서 *이름 ID*를 선택합니다.

    6. *마침*을 선택하고 *확인*을 선택합니다.

  7. 신뢰 당사자 트러스트를 마우스 오른쪽 버튼으로 클릭하여 속성을 엽니다.

  8. 엔드포인트 탭에서 단일 로그아웃(SLO)에 대한 엔드포인트를 구성합니다.

    1. *SAML 추가*를 선택합니다.

    2. 엔드포인트 유형 > *SAML 로그아웃*을 선택합니다.

    3. 바인딩 > *리디렉션*을 선택합니다.

    4. 신뢰할 수 있는 URL 필드에 이 관리 노드에서 단일 로그아웃(SLO)에 사용되는 URL을 입력합니다.

      https://Admin_Node_FQDN/api/saml-logout

    을 위한 Admin_Node_FQDN , 관리 노드의 정규화된 도메인 이름을 입력합니다. (필요한 경우 노드의 IP 주소를 대신 사용할 수 있습니다. 하지만 여기에 IP 주소를 입력하는 경우 해당 IP 주소가 변경될 경우 이 신뢰 당사자 트러스트를 업데이트하거나 다시 만들어야 한다는 점을 알아두세요.)

    1. *확인*을 선택하세요.

  9. 서명 탭에서 이 신뢰 당사자 신뢰에 대한 서명 인증서를 지정합니다.

    1. 사용자 정의 인증서를 추가합니다.

      • StorageGRID 에 업로드한 사용자 정의 관리 인증서가 있는 경우 해당 인증서를 선택합니다.

      • 사용자 정의 인증서가 없는 경우 관리 노드에 로그인하여 이동하세요. /var/local/mgmt-api 관리 노드의 디렉토리에 추가하고 custom-server.crt 인증서 파일.

        참고 관리 노드의 기본 인증서 사용(server.crt )은 권장하지 않습니다. 관리 노드에 장애가 발생하면 노드를 복구할 때 기본 인증서가 다시 생성되고 신뢰 당사자 트러스트를 업데이트해야 합니다.

    2. *적용*을 선택하고 *확인*을 선택합니다.

      신뢰 당사자 속성이 저장되고 닫힙니다.

  10. StorageGRID 시스템의 모든 관리 노드에 대한 신뢰 당사자 트러스트를 구성하려면 이 단계를 반복합니다.

  11. 작업이 끝나면 StorageGRID 로 돌아가 모든 신뢰 당사자 트러스트를 테스트하여 올바르게 구성되었는지 확인합니다. 보다"샌드박스 모드 사용" 지침을 보려면.