Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

AD FS에서 기반 당사자 트러스트를 생성합니다

기여자
PDF

AD FS(Active Directory Federation Services)를 사용하여 시스템의 각 관리 노드에 대한 기반 당사자 신뢰를 만들어야 합니다. PowerShell 명령을 사용하거나, StorageGRID에서 SAML 메타데이터를 가져오거나, 데이터를 수동으로 입력하여 의존할 수 있는 회사 트러스트를 만들 수 있습니다.

시작하기 전에

  • StorageGRID에 대해 Single Sign-On을 구성하고 SSO 유형으로 * AD FS * 를 선택했습니다.

  • * Sandbox 모드 * 는 Grid Manager의 Single Sign-On 페이지에서 선택됩니다. 을 "sandbox 모드를 사용합니다"참조하십시오.

  • 시스템의 각 관리 노드에 대한 정규화된 도메인 이름(또는 IP 주소)과 관련 당사자 식별자를 알고 있습니다. 이러한 값은 StorageGRID 단일 사인온 페이지의 관리 노드 세부 정보 테이블에서 찾을 수 있습니다.

    참고 StorageGRID 시스템의 각 관리 노드에 대한 신뢰할 수 있는 상대 신뢰를 만들어야 합니다. 각 관리 노드에 대한 신뢰할 수 있는 당사자 덕분에 사용자는 모든 관리 노드에 안전하게 로그인할 수 있습니다.

  • AD FS에서 기반 당사자 트러스트를 만드는 경험이 있거나 Microsoft AD FS 문서에 액세스할 수 있습니다.

  • AD FS 관리 스냅인을 사용하고 있으며 사용자는 Administrators 그룹에 속해 있습니다.

  • 수동으로 신뢰할 수 있는 상대 신뢰를 만드는 경우 StorageGRID 관리 인터페이스에 대해 업로드된 사용자 지정 인증서가 있거나 명령 셸에서 관리 노드에 로그인하는 방법을 알고 있어야 합니다.

이 작업에 대해

이 지침은 Windows Server 2016 AD FS에 적용됩니다. 다른 버전의 AD FS를 사용하는 경우 절차에 약간의 차이가 있을 수 있습니다. 질문이 있는 경우 Microsoft AD FS 설명서를 참조하십시오.

Windows PowerShell을 사용하여 신뢰할 수 있는 사용자 신뢰를 만듭니다

Windows PowerShell을 사용하여 하나 이상의 신뢰할 수 있는 파티 트러스트를 빠르게 만들 수 있습니다.

단계

  1. Windows 시작 메뉴에서 PowerShell 아이콘을 마우스 오른쪽 버튼으로 선택하고 * 관리자 권한으로 실행 * 을 선택합니다.

  2. PowerShell 명령 프롬프트에서 다음 명령을 입력합니다.

    Add-AdfsRelyingPartyTrust -Name "Admin_Node_Identifer" -MetadataURL "https://Admin_Node_FQDN/api/saml-metadata"

    • 의 경우 Admin_Node_Identifier 단일 사인온 페이지에 표시된 대로 관리자 노드의 종속 당사자 식별자를 입력합니다. `SG-DC1-ADM1`예를 들어,

    • 의 경우 Admin_Node_FQDN 동일한 관리자 노드에 대해 정규화된 도메인 이름을 입력합니다. (필요한 경우 노드의 IP 주소를 대신 사용할 수 있습니다. 그러나 여기에 IP 주소를 입력한 경우에는 해당 IP 주소가 변경될 경우 이 신뢰할 수 있는 사용자 신뢰를 업데이트하거나 다시 만들어야 합니다.)

  3. Windows Server Manager에서 * Tools * > * AD FS Management * 를 선택합니다.

    AD FS 관리 도구가 나타납니다.

  4. AD FS * > * 기반 당사자 신뢰 * 를 선택합니다.

    신뢰할 수 있는 당사자 목록이 나타납니다.

  5. 새로 만든 신뢰할 수 있는 상대 신뢰에 액세스 제어 정책 추가:

    1. 방금 만든 신뢰할 수 있는 상대자를 찾습니다.

    2. 트러스트를 마우스 오른쪽 단추로 클릭하고 * 액세스 제어 정책 편집 * 을 선택합니다.

    3. 액세스 제어 정책을 선택합니다.

    4. Apply * 를 선택하고 * OK * 를 선택합니다

  6. 새로 생성된 신뢰할 수 있는 당사자 신탁에 클레임 발급 정책 추가:

    1. 방금 만든 신뢰할 수 있는 상대자를 찾습니다.

    2. 신뢰를 마우스 오른쪽 버튼으로 클릭하고 * 클레임 발급 정책 편집 * 을 선택합니다.

    3. 규칙 추가 * 를 선택합니다.

    4. 규칙 템플릿 선택 페이지의 목록에서 * 청구로 LDAP 속성 보내기 * 를 선택하고 * 다음 * 을 선택합니다.

    5. 규칙 구성 페이지에서 이 규칙의 표시 이름을 입력합니다.

      예를 들어 * objectGUID를 이름 ID * 로, * UPN을 이름 ID * 로 지정합니다.

    6. 특성 저장소의 경우 * Active Directory * 를 선택합니다.

    7. Mapping 테이블의 LDAP Attribute 열에서 * objectGUID * 를 입력하거나 * User-Principal-Name * 을 선택합니다.

    8. 매핑 테이블의 발신 클레임 유형 열에서 드롭다운 목록에서 * 이름 ID * 를 선택합니다.

    9. 마침 * 을 선택하고 * 확인 * 을 선택합니다.

  7. 메타데이터를 성공적으로 가져왔는지 확인합니다.

    1. 신뢰할 수 있는 상대 신뢰를 마우스 오른쪽 단추로 클릭하여 속성을 엽니다.

    2. Endpoints *, * Identifiers * 및 * Signature * 탭의 필드가 채워져 있는지 확인합니다.

      메타데이터가 누락된 경우 페더레이션 메타데이터 주소가 올바른지 확인하거나 값을 수동으로 입력합니다.

  8. 이 단계를 반복하여 StorageGRID 시스템의 모든 관리 노드에 대한 신뢰할 수 있는 상대 트러스트를 구성합니다.

  9. 작업을 마치면 StorageGRID로 돌아가 모든 신뢰할 수 있는 상대 트러스트를 테스트하여 올바르게 구성되었는지 확인합니다. 자세한 내용은 을 "Sandbox 모드를 사용합니다" 참조하십시오.

페더레이션 메타데이터를 가져와 사용 상대 신뢰를 만듭니다

각 관리 노드에 대한 SAML 메타데이터에 액세스하여 각 의존자 신뢰의 값을 가져올 수 있습니다.

단계

  1. Windows Server Manager에서 * Tools * 를 선택한 다음 * AD FS Management * 를 선택합니다.

  2. 작업에서 * 신뢰할 수 있는 당사자 신뢰 추가 * 를 선택합니다.

  3. 시작 페이지에서 * 클레임 인식 * 을 선택하고 * 시작 * 을 선택합니다.

  4. 온라인 또는 로컬 네트워크에 게시된 의존자에 대한 데이터 가져오기 * 를 선택합니다.

  5. Federation 메타데이터 주소(호스트 이름 또는 URL) * 에 이 관리 노드에 대한 SAML 메타데이터의 위치를 입력합니다.

    https://Admin_Node_FQDN/api/saml-metadata

    의 경우 Admin_Node_FQDN 동일한 관리자 노드에 대해 정규화된 도메인 이름을 입력합니다. (필요한 경우 노드의 IP 주소를 대신 사용할 수 있습니다. 그러나 여기에 IP 주소를 입력한 경우에는 해당 IP 주소가 변경될 경우 이 신뢰할 수 있는 사용자 신뢰를 업데이트하거나 다시 만들어야 합니다.)

  6. 신뢰할 수 있는 당사자 신뢰 마법사를 완료하고 신뢰할 수 있는 상대 신뢰를 저장한 다음 마법사를 닫습니다.

    참고 표시 이름을 입력할 때 그리드 관리자의 단일 사인온 페이지에 나타나는 것과 동일하게 관리 노드에 대한 기반 당사자 식별자를 사용합니다. `SG-DC1-ADM1`예를 들어,

  7. 청구 규칙 추가:

    1. 신뢰를 마우스 오른쪽 버튼으로 클릭하고 * 클레임 발급 정책 편집 * 을 선택합니다.

    2. 규칙 추가 * 선택:

    3. 규칙 템플릿 선택 페이지의 목록에서 * 청구로 LDAP 속성 보내기 * 를 선택하고 * 다음 * 을 선택합니다.

    4. 규칙 구성 페이지에서 이 규칙의 표시 이름을 입력합니다.

      예를 들어 * objectGUID를 이름 ID * 로, * UPN을 이름 ID * 로 지정합니다.

    5. 특성 저장소의 경우 * Active Directory * 를 선택합니다.

    6. Mapping 테이블의 LDAP Attribute 열에서 * objectGUID * 를 입력하거나 * User-Principal-Name * 을 선택합니다.

    7. 매핑 테이블의 발신 클레임 유형 열에서 드롭다운 목록에서 * 이름 ID * 를 선택합니다.

    8. 마침 * 을 선택하고 * 확인 * 을 선택합니다.

  8. 메타데이터를 성공적으로 가져왔는지 확인합니다.

    1. 신뢰할 수 있는 상대 신뢰를 마우스 오른쪽 단추로 클릭하여 속성을 엽니다.

    2. Endpoints *, * Identifiers * 및 * Signature * 탭의 필드가 채워져 있는지 확인합니다.

      메타데이터가 누락된 경우 페더레이션 메타데이터 주소가 올바른지 확인하거나 값을 수동으로 입력합니다.

  9. 이 단계를 반복하여 StorageGRID 시스템의 모든 관리 노드에 대한 신뢰할 수 있는 상대 트러스트를 구성합니다.

  10. 작업을 마치면 StorageGRID로 돌아가 모든 신뢰할 수 있는 상대 트러스트를 테스트하여 올바르게 구성되었는지 확인합니다. 자세한 내용은 을 "Sandbox 모드를 사용합니다" 참조하십시오.

수동으로 신뢰할 수 있는 상대 신뢰를 만듭니다

의존 파트 트러스트의 데이터를 불러오지 않도록 선택하면 값을 직접 입력할 수 있습니다.

단계

  1. Windows Server Manager에서 * Tools * 를 선택한 다음 * AD FS Management * 를 선택합니다.

  2. 작업에서 * 신뢰할 수 있는 당사자 신뢰 추가 * 를 선택합니다.

  3. 시작 페이지에서 * 클레임 인식 * 을 선택하고 * 시작 * 을 선택합니다.

  4. [의지하는 자에 대한 데이터 입력]을 선택하고 * [다음]을 선택합니다.

  5. 신뢰할 수 있는 당사자 신뢰 마법사를 완료합니다.

    1. 이 관리 노드의 표시 이름을 입력합니다.

      일관성을 위해 그리드 관리자의 단일 사인온 페이지에 표시되는 것과 동일하게 관리자 노드에 대한 기반 당사자 식별자를 사용합니다. `SG-DC1-ADM1`예를 들어,

    2. 선택적 토큰 암호화 인증서를 구성하려면 단계를 건너뜁니다.

    3. URL 구성 페이지에서 SAML 2.0 WebSSO 프로토콜 * 지원 활성화 확인란을 선택합니다.

    4. 관리 노드에 대한 SAML 서비스 끝점 URL을 입력합니다.

      https://Admin_Node_FQDN/api/saml-response

      의 경우 Admin_Node_FQDN 관리자 노드의 정규화된 도메인 이름을 입력합니다. (필요한 경우 노드의 IP 주소를 대신 사용할 수 있습니다. 그러나 여기에 IP 주소를 입력한 경우에는 해당 IP 주소가 변경될 경우 이 신뢰할 수 있는 사용자 신뢰를 업데이트하거나 다시 만들어야 합니다.)

    5. 식별자 구성 페이지에서 동일한 관리 노드에 대한 기반 당사자 식별자를 지정합니다.

      Admin_Node_Identifier

      의 경우 Admin_Node_Identifier 단일 사인온 페이지에 표시된 대로 관리자 노드의 종속 당사자 식별자를 입력합니다. `SG-DC1-ADM1`예를 들어,

    6. 설정을 검토하고 신뢰할 수 있는 상대 신뢰를 저장한 다음 마법사를 닫습니다.

      청구 발급 정책 편집 대화 상자가 나타납니다.

    참고 대화 상자가 나타나지 않으면 트러스트를 마우스 오른쪽 단추로 클릭하고 * 클레임 발급 정책 편집 * 을 선택합니다.

  6. 클레임 규칙 마법사를 시작하려면 * 규칙 추가 * 를 선택합니다.

    1. 규칙 템플릿 선택 페이지의 목록에서 * 청구로 LDAP 속성 보내기 * 를 선택하고 * 다음 * 을 선택합니다.

    2. 규칙 구성 페이지에서 이 규칙의 표시 이름을 입력합니다.

      예를 들어 * objectGUID를 이름 ID * 로, * UPN을 이름 ID * 로 지정합니다.

    3. 특성 저장소의 경우 * Active Directory * 를 선택합니다.

    4. Mapping 테이블의 LDAP Attribute 열에서 * objectGUID * 를 입력하거나 * User-Principal-Name * 을 선택합니다.

    5. 매핑 테이블의 발신 클레임 유형 열에서 드롭다운 목록에서 * 이름 ID * 를 선택합니다.

    6. 마침 * 을 선택하고 * 확인 * 을 선택합니다.

  7. 신뢰할 수 있는 상대 신뢰를 마우스 오른쪽 단추로 클릭하여 속성을 엽니다.

  8. 엔드포인트 * 탭에서 단일 로그아웃(SLO)에 대한 엔드포인트를 구성합니다.

    1. SAML 추가 * 를 선택합니다.

    2. Endpoint Type * > * SAML Logout * 을 선택합니다.

    3. Binding * > * Redirect * 를 선택합니다.

    4. 신뢰할 수 있는 URL * 필드에 이 관리 노드에서 단일 로그아웃(SLO)에 사용되는 URL을 입력합니다.

      https://Admin_Node_FQDN/api/saml-logout

    의 경우 Admin_Node_FQDN 관리자 노드의 정규화된 도메인 이름을 입력합니다. (필요한 경우 노드의 IP 주소를 대신 사용할 수 있습니다. 그러나 여기에 IP 주소를 입력한 경우에는 해당 IP 주소가 변경될 경우 이 신뢰할 수 있는 사용자 신뢰를 업데이트하거나 다시 만들어야 합니다.)

    1. OK * 를 선택합니다.

  9. 서명* 탭에서 이 신뢰할 수 있는 당사자 트러스트의 서명 인증서를 지정합니다.

    1. 사용자 지정 인증서 추가:

      • StorageGRID에 업로드한 사용자 지정 관리 인증서가 있는 경우 해당 인증서를 선택합니다.

      • 사용자 지정 인증서가 없는 경우 관리자 노드에 로그인하고 관리자 노드의 디렉터리로 이동하여 /var/local/mgmt-api 인증서 파일을 추가합니다 custom-server.crt.

        참고 관리자 노드의 기본 인증서 (`server.crt`사용)은 사용하지 않는 것이 좋습니다. 관리자 노드에 장애가 발생하면 노드를 복구할 때 기본 인증서가 다시 생성되고, 신뢰할 수 있는 상대 트러스트를 업데이트해야 합니다.

    2. Apply * 를 선택하고 * OK * 를 선택합니다.

      종속된 당사자 속성이 저장되고 닫힙니다.

  10. 이 단계를 반복하여 StorageGRID 시스템의 모든 관리 노드에 대한 신뢰할 수 있는 상대 트러스트를 구성합니다.

  11. 작업을 마치면 StorageGRID로 돌아가 모든 신뢰할 수 있는 상대 트러스트를 테스트하여 올바르게 구성되었는지 확인합니다. 자세한 내용은 을 "sandbox 모드를 사용합니다" 참조하십시오.